構成設定
メッセージ設定と詳細設定を、構成ごとに定義できます。
メッセージ設定
構成ルールに従い、メッセージ ボックスをユーザにどのように表示するかを定義し、ユーザがアプリケーションを起動しようとしたときのメッセージの内容を指定するには、メッセージ設定を使用します。
以下のユーザ メッセージを定義できます。
- アクセスが拒否されました: アプリケーションの実行が拒否されたときに表示されるメッセージを定義します。
このメッセージをユーザに表示するかは、[ルール項目設定] パネル > [プロパティ] タブ > [オプション] セクションで、拒否ルール項目ベースで無効化できます。
- [昇格時のプロンプト]: アプリケーションを実行するためには昇格された権限が必要である場合に表示されるメッセージを、次のように定義します。
- アプリケーションを実行するためには昇格された権限が必要である場合に表示されるメッセージを定義します。
このメッセージ プロンプトは、[ルール項目設定] パネル > [プロパティ] タブ > [ポリシー] セクションで、昇格ルール項目ごとに有効化できます。 - アプリケーションを実行するためには昇格された権限が必要であり、かつ理由を入力する必要がある場合に表示されるメッセージを定義します。
このメッセージ プロンプトは、[ルール項目設定] パネル > [プロパティ] タブ > [ポリシー] セクションで、昇格ルール項目ごとに有効化できます。
- アプリケーションを実行するためには昇格された権限が必要である場合に表示されるメッセージを定義します。
メッセージのタイプごとに、以下を定義します。
- キャプション: メッセージの最上部に表示するテキスト。 たとえば、アプリ コントロールが介入したことをユーザが気付かないように、既定のキャプション「アプリ コントロール」を変更できます。
- バナー: 色付きバナーに表示するテキストを入力します。 メッセージ ボックスから色付きバナーを削除するには、このフィールドをクリアして空にするだけです。
- メッセージ本文: メッセージの本文に表示するテキストを入力します。
- 幅: メッセージ ダイアログの幅を指定します。 幅は、ピクセル単位で測定され、すべてのメッセージに適用されます。
- 高さ: メッセージ ダイアログの高さを指定します。 高さは、ピクセル単位で測定され、すべてのメッセージに適用されます。
メッセージに関するヒント
メッセージを構成する際は、以下のことを考慮してください。
- 環境変数、キャプション、バナー、メッセージでサポートされています。
- メッセージ本文でハイパーリングを使用する場合は、完全な HREF 属性タグを入力する必要があります。
- メッセージ本文に小なり括弧または大なり括弧が表示されるようにする場合は、それぞれ < と > を使用してください。 JavaScript はサポートされていません。
メッセージ ボックスの環境変数
メッセージでは、システム環境変数とユーザ環境変数、ならびにアプリ コントロールで定義されている以下の変数をサポートしています。
|
環境変数 |
説明 |
|---|---|
| %ExecutableName% | 拒否されたアプリケーションの名前。 |
| %FullPathName% | 拒否されたアプリケーションの完全パス。 |
| %DirectoryName% | 拒否されたアプリケーションがあるディレクトリ。 |
| %NetworkLocation% | 所定のホスト名の、解決された IP アドレス。 |
| %AC_Hash% | ファイル ハッシュ。 |
| %AC_FileSize% | ファイルのサイズ。 |
|
%AC_ProductVersion% |
製品のバージョン。 |
|
%AC_FileVersion% |
ファイルのバージョン。 |
| %AC_ProductName% |
製品の名前。 |
| %AC_CompanyName% |
会社の名前。 |
| %AC_Vendor% |
証明書の署名者の名前。 |
| %AC_FileDescription% |
ファイルの説明。 |
| %AC_ParentProcess% |
それを開始したプロセスの名前。 |
| %AC_DecidingRule% |
アプリ コントロール構成内の許可ルールの名前。 |
| %AC_FileOwner% |
ファイルの所有者。 |
| %AC_ClientName% |
接続しているデバイスの名前。 |
|
%AC_PortNumber% |
ネットワーク ポートの名前 (該当する場合のみ)。 ポート番号が0でない場合は、ブロックされた IP アドレスの最後に表示されます。 |
詳細設定
ポリシー設定
すべてのアプリケーション実行要求に適用する、一般、検証、機能のポリシー設定を構成します。
一般機能
- ネットワーク共有上のファイルを拒否する: このネットワーク共有の既定の構成では、許可ルールに指定されていないものはすべて拒否されます。 この設定を無効にすると、ネットワーク共有にあるものはすべて、信頼できる所有権チェックに失敗した場合、あるいは拒否ルールに指定されている場合を除き、許可されます。
検証
- MSI (Windows インストーラ) パッケージを検証する: MSI ファイルは、Windows アプリケーションの標準的なインストール方法です。 ユーザが自由に MSI アプリケーションをインストールできないようにすることをお勧めします。
有効の場合 (既定の設定)、msiexec.exe の実行は拒否され、すべての MSI がルール検証の対象となります。
この設定を無効にすると、msiexec.exe はブロックされず、MSI ファイルは、ルール検証を条件として実行が許可されます。 - PowerShell スクリプトを検証する: 有効にすると、powershell.exe および powershell_ise.exe の実行が拒否されます。 ただし、PowerShell スクリプト (PS1ファイル) がコマンド ラインで検出されると、ルール検証の対象となります。
無効の場合 (既定の設定)、powershell.exe と powershell.ise.exe はブロックされなくなり、PS1ファイルはルール検証の対象ではなくなります。- コマンドのブロック: 有効の場合 (既定の設定)、-Command が含まれている PowerShell コマンド ラインはすべてブロックされます。
セキュリティ レベルを変更するには、このオプションの選択を解除して、-Command のブロックを無効にすることをお勧めします。
例: エクスプローラで、PS1ファイルを右クリックし、[PowerShell で実行] を選択します。 エクスプローラが自動的に -Command を追加して、現在の実行ポリシーを問い合わせ、ポリシーを変更するかどうかをユーザに尋ねるプロンプトを表示します。 アプリ コントロールが PS1ファイルを評価できるように、たんにファイルをブロックするのではなく、この方法で、[-コマンドのブロック] オプションを無効にします。無効にした場合、信頼できる PS1ファイルであっても、-Command 引数を介して悪意のあるコードが挿入されて変更される可能性があり、ファイル自体は信頼できるため、実行されることに注意してください。
- コマンドのブロック: 有効の場合 (既定の設定)、-Command が含まれている PowerShell コマンド ラインはすべてブロックされます。
- バッチ ファイルの CMD を許可する: 管理者がアプリ コントロール構成で cmd.exe を明示的に禁止することが予想されます。
有効の場合 (既定の設定)、cmd.exe の実行が許可されます。 cmd.exe を明示的に拒否するルールの場合は、cmd.exe 自体は実行が許可されませんが、バッチ ファイルは、ルール検証を条件として実行されます。
この設定を無効にすると、cmd.exe の実行は許可されず、すべてのバッチ ファイルの実行は許可されます。 cmd.exe を明示的に拒否するルールの場合は、すべてのバッチ ファイルがブロックされ、評価さえ行われません。 - WSH (Windows スクリプト ホスト) スクリプトを検証する: スクリプトはウイルスや悪意のあるコードを取り込む可能性があるため、WSH スクリプトを検証することが推奨されます。
有効の場合 (既定の設定)、cscript.exe と wscript.exe が拒否されます。 ただし、js スクリプトや vb スクリプトの実行は、ルール検証の対象です。
この設定を無効にすると、cscript.exe と wscript.exe は既定ではブロックされなくなり、js スクリプトや vb スクリプトはルール検証の対象ではなくなります。 - レジストリ ファイルを検証する: 有効の場合 (既定の設定)、regedit.exe と regini.exe が拒否されます。 .reg スクリプトの実行はルール検証の対象です。
この設定を無効にすると、regedit.exe と regini.exe は既定ではブロックされなくなります。 また、.reg スクリプトはルール検証の対象ではなくなります。 - Java アーカイブを検証する: 有効の場合 (既定の設定)、java.exe と javaw.exe が拒否されます。 ただし、Java アーカイブ (JAR ファイル) がコマンド ラインで検出されると、ルール検証の対象となります。
この設定を無効にすると、java.exe と javaw.exe は既定ではブロックされなくなり、JAR ファイルはルール検証の対象ではなくなります。
機能
- アプリケーション アクセス コントロールを有効にする: 有効の場合、構成の拒否ルールによってアクセス コントロールが実施されます。
この設定を無効にすると、すべての拒否ルールが無視され、アプリケーション アクセスが拒否されることはなく、したがってすべてが許可されます。 - ユーザ権限管理を有効にする: 有効の場合、ユーザ権限は構成の昇格ルールによって決定されます。
この設定を無効にすると、すべての昇格ルールが無視され、アプリケーションの昇格は許可されなくなります。
カスタム設定
管理対象のエンドポイントに適用する追加の設定を、次のように構成します。
- ドライバー フックの除外: アプリ コントロールの実行時にドライバー フックを除外する場合に選択します。 アプリ コントロールは、許可する、昇格させるといったプロセスの動作をインターセプトして変更できるよう、実行中のすべてのプロセスに DLL を挿入します。 除外するとは、アプリ コントロールの DLL が挿入されないことを意味します。
ドライバー フックの除外リストを作成するには、各ファイル名をセミコロンで区切って入力します。
このカスタム設定は、Ivanti 技術サポートの指示に従って使用してください。
- アプリ コントロール ドライバーの除外: リストされた特定のプロセスを対象とするプロセス開始要求のインターセプト操作から、アプリ コントロール ドライバーを除外する場合に選択します。 アプリ コントロールには、ルールの突き合わせや信頼できる所有権チェックなどの照合が開始されるまではプロセスが開始されないようにするドライバーがあります。 この除外により、ドライバーが開始要求をインターセプトするのを防止します。
フィルタ ドライバーの除外リストを作成するには、各ファイル名をセミコロンまたはスペースで区切って入力します。この設定を有効にするには、エージェントの再起動が必要です。
- ブロックされた DLL のメッセージを表示: DLL がブロックされたときにアプリ コントロールのアクセス拒否メッセージを表示する場合に選択します。
- 構成ファイルの保護: ユーザまたは管理者による、エンドポイント上のアプリ コントロール構成ファイルの読み取り、コピー、編集、削除を防止する場合に選択します。
監査設定
監査の全般設定を構成します。
アプリ コントロール イベントをローカルのアプリケーション イベント ログに引き上げる: アプリ コントロールの監査を有効にする場合に選択します。 アプリ コントロールのイベントはすべて、ローカルの Windows アプリケーション イベント ログに取り込まれるようになります。
| イベント ID | 名称 | 説明 |
|---|---|---|
| 9018 | アプリケーションのユーザ権限の変更 | アプリケーションのユーザ権限が変更されました。 |
| 9060 | 拒否された実行 (信頼できる所有権) | 拒否された実行要求 (信頼できる所有権) |
| 9061 | 拒否された実行 (ルール ポリシー) | 拒否された実行要求 (ルール ポリシー) |
| 9062 | アプリケーションが昇格で開始された | アプリケーションが昇格された (完全な管理者) 権限で開始されました。 |