システム制御
このセクションの内容
システム制御
システム制御を使用して、アプリケーションとプロセスの削除または修正、特定のサービスの管理、名前付きイベント ログのクリアを制御します。指定された項目へのアクセスを昇格または制限するには、制御を適用できます。
Windows 10のデスクトップ アプリケーションをインストール、アンインストール、変更、または修復する能力の制限または昇格は、コントロール パネルの [プログラムと機能] ビューからアクセスする MSI ベースおよび .exe ベースのインストーラに適用されます。Application Control リリース2020.2以降は、割り当てられたアクセス許可も Windows 設定の [アプリと機能] ビューでサポートされます。
システム制御は、各ルール グループの [ユーザ権限] ノードで使用できます。
システム制御の追加
- 必要なルールの [ユーザ権限] ノードを選択します。
- [システム制御] タブを選択します。
- [項目の追加] をクリックし、任意のシステム制御を選択します。
プロセス ルールで、プロセス終了項目のみを追加できます。
- 必要な詳細を選択し、[OK] をクリックします。
- ポリシー列で、必要なオプションを選択します。
- ビルトイン制限 - 名前付き項目へのアクセスを常に制限します。
- ビルトイン昇格 - 名前付き項目へのアクセスを常に許可します。
- [権限管理] リボンで [項目の追加] をクリックし、任意のオプションを選択して、さらに項目を構成します。
-
[ここをクリックして、ユーザがシステム制御へのアクセスが制限されているときに表示されるメッセージを設定] リンクをクリックして、ユーザが制限されたプログラムをアンインストールしたり、制限されたイベント ログをクリアしようとしたときに表示されるメッセージを構成します。
詳細については、 「メッセージ設定」をご参照ください。
[Ivanti コンポーネントと依存関係の追加] ボタンをクリックして、AppSense* をアンインストール、サービス、イベントログ制御項目構成に自動的にあらかじめ入力します。他の必須の依存関係も追加されます。 これは、管理者権限を制限して、重要なエージェント コンポーネントの変更を防止する際に役立ちます。
制御項目のアンインストール
アンインストール制御項目を構成する前に、アプリケーション アクセス制御を有効にする必要があります。詳細については、 「ポリシー設定」をご参照ください。
このオプションを使用して、ルール条件が一致したときに、インストールされたアプリケーションのアンインストールを許可または制限します。アンインストール制御項目は、制御されるアプリケーションを定義して構成されます。指名された発行元および特定のアプリケーション バージョンを対象とするために、さらに検証を適用できます。発行元からのすべてのアプリケーションを許可または制限するには、[アプリケーション] フィールドに発行元名と * を入力します。
アンインストール制御項目の使用例については、「グループの昇格 - 例: Microsoft OneDrive のアンインストールを可能にする」をご参照ください。
AppSense アンインストール制御項目
AppSense の会社名が Ivanti に変更されたため、AppSense* アンインストール項目を含む Application Control 構成は、以前に AppSense の名前を使用していた Ivanti 製品を制御しません。
AppSense* アンインストール制御項目を含む構成を10.1 FR1以降のコンソールで開くと、ダイアログが表示されます。 このダイアログでは、AppSense* を含むすべてのルールに自動的に Ivanti* を追加することができます。アンインストール制御項目は、プログラムと機能に表示される名前および発行元と照合することで機能します。自動更新に同意すると、ブランド名が変更された Application Control 10.1 FR1以降のエージェントに構成が配布されるときに、Ivanti に変更された AppSense 製品には、引き続き同じアンインストール制御が適用されます。
サービス制御項目
このオプションを使用すると、ルール条件が一致したときに、修正、停止、開始、および再起動するサービスを選択できます。
エージェント サービスは、停止した後に再開できない唯一のサービスです。
サービス制御項目は、サービス名またはサービスの識別名を指定して構成されます。サービス表示名は、ローカライズされたオペレーティング システムによって異なる場合があります。
サービス制御項目の使用例については、「Windows Firewall サービスの停止を防止する」をご参照ください。
イベント ログ制御項目
このオプションを使用すると、ルール条件が一致したときに、消去できるイベント ログと消去できないイベント ログを選択できます。イベント ログ制御項目は、制御されるログ名を選択して構成されます。
イベント ログ制御項目の使用例については、「システム ログの消去を防止する」をご参照ください。
プロセス終了制御項目
このオプションを使用して、管理者を含むすべてのユーザが、ウイルス対策ソフトウェアなどのプロセスを終了しないように保護します。ユーザは通常の手順でプロセスを停止することはできます。たとえば、アプリケーション UI で閉じるをクリックすると、プロセスが停止しますが、タスク マネージャの [詳細] タブでタスクを終了するといった強制的なプロセスの終了はできます。個別のファイルを指定するか、特定のフォルダのすべてのプロセスを対象にすることができます。
任意で、メタデータを追加して、ファイルとフォルダに一致する追加の条件を含めます。
詳細については、メタデータをご参照ください。