信頼できる所有者
このセクションでは、次の項目について説明します。
信頼できる所有者
ルールの一致処理中に、ファイルおよびフォルダに対して信頼できる所有権チェックが実行され、項目の所有権が既定のルール構成で指定された信頼できる所有者のリストと一致することが保証されます。
たとえば、実行するファイルと許可された項目の間で一致がある場合、追加のセキュリティ チェックにより、ファイルの所有権が信頼できる所有者リストと一致することが保証されます。本物のファイルが改ざんされたか、セキュリティ脅威のファイルの名前が変更され、許可されたファイルに似せられている場合は、信頼できる所有権チェックにより、不整合性が特定され、ファイル実行が防止されます。
ネットワーク/共有は既定で拒否されます。このため、ファイルがネットワーク フォルダにある場合、ファイルまたはフォルダが許可された項目としてルールに追加される必要があります。そうでない場合、ファイルが信頼できる所有権チェックに合格した場合でも、ルールはアクセスを許可しません。
これらを模倣できないため、デジタル署名の項目では、信頼できる所有権チェックは必要ではありません。
信頼できる所有者のリストは、[グローバル設定] リボンから使用可能な [信頼できる所有者] ダイアログで管理されます。Application Control は既定で次の項目を信頼します。
- システム
- BUILTIN/Administrators
- %ComputerName%\Administrator
- NT Service\TrustedInstaller
つまり、既定では、Application Control は BULTIN\Administrators グループとローカル管理者が所有するファイルを信頼します。Application Control は信頼できる所有者のグループ ルックアップを実行しません。BUILTIN\Administrators のメンバーであるユーザは既定では信頼されません。他のユーザは、管理者グループのメンバーであっても、信頼できる所有者になるように明示的に追加される必要があります。他のユーザまたはグループを含めるには、上記のリストを拡張できます。
初めて Application Control を使用するときには、既定の設定を使用することをお勧めします。複雑なカスタマイズを回避するために、信頼できる所有者リストを拡張したり、既定の設定を変更しないでください。
ダイアログには次のオプションがあります。
-
ファイルの上書きと名前の変更 - [ファイルが上書きまたは名前変更されるときにファイル所有権を変更する] オプションが選択されると、Application Control は、ファイルが上書きまたは名前変更されるときに、実行ファイルの NTFS ファイル所有権を選択して変更します。
信頼できる所有者ではないユーザによる、信頼できる所有権または許可された項目ル-ルによって許可されたファイルの上書きの試みは、ファイルの内容が変更された場合、セキュリティ脅威になる可能性があります。Application Control は上書きされたファイルの所有権の処理を実行するユーザに変更し、ファイルを信頼できなくすることで、システムが安全であることを保証します。
同様に、拒否されたファイル名を許可された項目名に変更する試みも、セキュリティ脅威になる可能性があります。Application Control はこれらのファイルの所有権を名前変更処理を実行するユーザに変更し、ファイルが信頼できないままであることを保証します。
上書きおよび名前変更処理はいずれも監査されます。
- ファイルの上書きと名前変更: 個別のファイルの信頼できる所有権を無視するには、次のいずれかを実行します。
- [許可された項目] サブノードの [信頼できる所有権] チェックボックスをオフにします。
- 自己承認ステータスをユーザとデバイスに割り当て、ユーザは、ファイルの実行を許可するかどうかを決定します。
- グループ、ユーザ、デバイス、カスタム、スクリプト、プロセス ルール ノードのルールの自己承認セキュリティレベルを設定します。
- 信頼できるアプリケーションは、拒否された項目と一致する制限を無効にします。
- 信頼できるベンダは、信頼できる所有権チェックの結果として制限を無効にします。
ホワイトリスト
既定で実行が何も許可されていないホワイトリスト アプローチを使用する場合、[グローバル設定] リボンの [詳細設定] から使用可能な [ポリシー設定] ダイアログで [既定でローカルドライブを許可する] チェックボックスをオフにします。項目を許可するには、構成ノードの許可された項目フォルダに追加します。
ホワイトリスト アプローチを使用する場合、すべての関連するファイルとフォルダが許可された項目に追加される すべてのユーザ グループのグループ ルールを追加して、重要なシステム ファイルの実行を許可することを確認します。そうでない場合、system32 ディレクトリに格納されるファイルなどの多くの重要な実行ファイルや DLL の実行が防止され、システムの機能に悪影響を及ぼす可能性があります。
次のビデオは、Trusted Ownership に用いられている概念を紹介しています。
信頼できる所有権を有効にする
この機能を有効にするには、[グローバル設定] リボンから [信頼できる所有者] を選択し、必要な設定を構成します。
- 信頼できる所有権の確認を有効にする - 選択すると、信頼できる所有権の確認をオンにします。既定で選択されています。
-
上書きまたは名前変更されるときにファイルの所有権を変更する: 選択すると、信頼できる所有者リストにはない信頼できないユーザによって上書きされる、信頼できる許可されたファイルの所有権を変更します。
信頼できないユーザが、拒否された項目ルールを回避するために、拒否された項目の名前を変更すると、所有権が信頼できないユーザに変更されます。所有権が変更されると、信頼できる所有権チェックにより、ファイルの変更が防止されます。
- 信頼できる所有者: 信頼できる所有者詳細。
- テキスト SID: 信頼できる所有者のテキスト セキュリティ識別子。たとえば、S-1-5-32-544です。
- 信頼できる所有者の追加ボタン: [信頼できる所有者の追加] ダイアログを開きます。信頼できる所有者リストに追加するアカウントを入力するか、参照して選択します。
- 信頼できる所有者の削除ボタン: 選択した信頼できる所有者を削除します。
信頼できる所有権のテスト
- テスト ユーザ アカウントを使用して、1つ以上のアプリケーションを導入します。
- System32 フォルダの calc.exe などの1つ以上のアプリケーションをユーザのホームドライブ、または別の適切な場所にコピーするか、CD からファイルをコピーします。
- コピーしたファイルの実行を試みます。アプリケーションは拒否されます。ファイルはテストユーザが所有し、信頼できる所有者リストのメンバーではないためです。
ファイルの所有権を検証するには、Windows エクスプローラでプロパティを表示します。