構成ルール

ルールを使用してアプリ コントロール構成を構築できます。これらのルールは、ユーザがファイルの実行を試行したときにエンドポイント上で照合されます。これは、信頼できる所有権チェックに加えて機能します。

アプリ コントロール ルールは管理者には適用されません。

エンドポイント上でルールが有効になるようにするには、構成のセキュリティ レベルを [制限] に設定する必要があります。

アプリ テンプレート を作成すると、項目をグループ化できます。 ルールの作成時または編集時にアプリ テンプレートを使用すると、ソース項目のリストに簡単に自動入力できます。

ルール タイプ

ルールは、共通条件の下でアクションをグループ化するのに使用されます。 作成するルールの目的となるアクションのタイプを選択します。

許可: 許可ルールは、制限されている可能性のある特定の項目へのアクセスを許可します。

拒否: 拒否ルールは、特定の項目へのアクセスを禁止します。

昇格: 昇格ルールは、管理者以外のユーザに対してアプリケーションやコンポーネントへのアクセス権限を持たせます。

信頼できるベンダ: 信頼できるベンダ ルールは、項目に有効なデジタル署名が施されている場合に、特定のベンダおよび項目に対して実行権限を付与します。

ルールの作成

ルールは、構成内から、または [概要] ページでグラフ内をクリックすることで、作成できます。

オプション1 - [構成] ページからルールを作成する

  1. [アプリ コントロール] > [構成] に移動します。
    [構成] ページが表示されます。
  2. 表で、ルールの追加先となる構成を決め、[アクション] 列で、省略記号アイコン をクリックしてアクション メニューを開きます。
  3. [編集] をクリックします。
    [構成の編集] ページが表示されます。
  4. または、編集する前に構成を表示したい場合は、[構成] ページで構成の [名前] をクリックします。
    [構成] ページが表示されます。
    [編集] ボタンをクリックします。
    構成の [編集] ページが表示されます。
  5. [ルール] 表で、[+新しいルールを追加] をクリックします。
    [構成: <name>] ページが表示されます。
  6. 作成するルールのタイプを選択し、以下のリンクされた関連トピックの手順に従います。

オプション2 - [概要] ページ (信頼できない所有者のグラフ) からルールを作成する

信頼できない所有者によって実行されたとしてキャプチャされたファイル用の許可ルールを作成できます。

  1. [アプリ コントロール] > [概要] に移動します。
    [概要] ページが表示されます。
  2. [信頼できない所有者によって実行されたアプリケーション] グラフ内をクリックします。
    [信頼できない所有者によって実行されたアプリケーション] ページが表示されます。
  3. 表で、作成する許可ルールの対象となるファイルを決め、[アクション] 列で、 をクリックしてオプション メニューを開きます。
  4. [+ルールの作成] をクリックします。
    [構成を選択する] ダイアログが表示されます。
  5. 作成するルールの追加先となる構成を選択します。
  6. [ルールの作成] をクリックします。
    選択した構成の [構成] ページが表示されます。
  7. 許可ルール の作成プロセスに従います。

オプション3 - [概要] ページ (昇格された権限のグラフ) からルールを作成する

昇格された権限で実行されたとしてキャプチャされたファイル用の昇格ルールを作成できます。

  1. [アプリ コントロール] > [概要] に移動します。
    [概要] ページが表示されます。
  2. 昇格された権限で実行されたアプリケーション グラフ内をクリックします。
    [昇格された権限で実行されたアプリケーション] ページが表示されます。
  3. 表で、作成する昇格ルールの対象となるファイルを決め、[アクション] 列で、 をクリックしてオプション メニューを開きます。
  4. [+ルールの作成] をクリックします。
    [構成を選択する] ダイアログが表示されます。
  5. 作成するルールの追加先となる構成を選択します。
  6. [ルールの作成] をクリックします。
    選択した構成の [構成] ページが表示されます。
  7. 昇格ルール の作成プロセスに従います。

ルール項目設定

[ルール項目設定] パネルには、ルールの [何?] ページ > [選択済みの項目] セクション > アイコン > [編集] からアクセスできます。

[プロパティ] タブ

  • 表示名: [ルール] 表の [名前] 列に表示させたいファイル名を入力します。
  • ファイル: ルールの適用先となるファイルまたはパスを入力します。 ワイルドカードを使用して複数のファイルと一致させることができます。たとえば、C:\Program Files\*.exe は、Program Files フォルダ内のすべての .exe ファイルと一致します。
    受け入れられるファイル タイプは、exe、bat、cmd、vbs、wsf、js、msi、msp、ps1、reg です。
    • 正規表現を使用する: ファイルまたはパスと突き合わせる際に正規表現を使用する場合に選択します。
  • 引数: すべての引数を、Process Explorer に表示されるとおりに入力します。
    コマンドライン引数は、[ファイル] フィールドに入力されている一致条件にとどまらず、一致条件を拡大します。 引数を追加した場合は、ファイルと引数の両方が満たされてはじめて一致となります。 プロセス用としてコマンド ラインに表示される引数 (フラグ、スイッチ、ファイル、GUID など) はどれでも追加できます。
    正規表現を使用することを選択できます。
    拒否されるファイル許可されるファイル結果
    shutdown.exeshutdown.exe
    引数: -r -t 30    		shutdown.exe は、-r -t 30 がコマンド ラインで指定されている場合にのみ実行されます。shutdown.exe によって実行される他のインスタンスはすべて拒否されます。

    許可/拒否される項目の引数を正しく構成するには、それらの引数を Process Explorer に表示されるとおりに設定する必要があります。

    ファイル: C:\Windows\System32\shutdown.exe

    コマンド ライン: C:\Windows\System32\shutdown.exe -r -t 30

    これは次のように構成します。

    ファイル: shutdown.exe の絶対パスまたは相対パス

    引数: -r -t 30

  • 説明: 任意で、説明を入力します。
  • オプション: ルール タイプによって利用可能なオプション。
    • 信頼できる所有者によって所有されていないファイルであっても実行を許可する: 許可ルール項目にのみ適用されます。
      信頼できる所有権チェックは常に有効であるため、アプリケーションは、許可される項目であったとしても、常に信頼できる所有権チェックに合格する必要があります。 ただし、信頼できる所有者によって所有されていない項目へのアクセスをユーザに与える必要がある場合は、このオプションを選択します。
    • 拒否されたときにアクセス拒否メッセージを表示しない: 拒否ルール項目にのみ適用されます。
      項目をサイレントに拒否して、ユーザにアクセス拒否メッセージを表示しない場合に、このオプションを選択します。
      構成のメッセージ設定」でメッセージをカスタマイズします。
  • ポリシー: 昇格ルール項目のみに適用されます。
    • 子プロセスに適用する: 既定では、ルール項目に適用された自己昇格ポリシーは、子プロセスによって継承されません。 親プロセスの直接の子にポリシーを適用するには、このオプションを選択します。
    • 一般ダイアログに適用する: ファイルまたはフォルダが昇格された場合に、Windows のメニュー オプションである [ファイルを開く] および [ファイルの保存] へのアクセスを昇格させます。

      ユーザが管理者権限でファイル システムを変更するのを防止するには、このオプションを未選択のままにする必要があります。

    • 信頼できる所有者としてインストールする: ローカル管理者を、定義済みアプリケーションによって作成されたすべての項目の所有者にします。 このオプションは、通常のアプリケーションには適用されず、インストーラ パッケージのみに適用されます。
    • 昇格させる前にユーザに確認する: 昇格させる前に、エンド ユーザに対して自己昇格プロンプトを表示する場合に選択します。
      構成のメッセージ設定」でメッセージをカスタマイズします。
      • 昇格させる前に理由を求めます: 昇格の理由を入力するようユーザに要求する場合に選択します。

[メタデータ] タブ

  • 製品名: 製品の名前。
    • 正規表現を使用する: 製品名と突き合わせる際に正規表現を使用する場合に選択します。
  • ベンダ: ファイルにデジタル署名が施されている場合に、署名に関連付けられているベンダ名。
    • 正規表現を使用する: ベンダと突き合わせる際に正規表現を使用する場合に選択します。
    • 実行時に証明書を検証する: ファイルとの突き合わせ中にベンダ証明書を検証する場合に選択します。
      ファイルが改ざんされていないことを保証するために、ファイルの完全性も検証されます。

      非常に大きいファイルが頻繁に実行される場合は、パフォーマンスに影響する可能性があります。

  • 会社名: ファイルを作成した会社の名前。
    • 正規表現を使用する: 会社名と突き合わせる際に正規表現を使用する場合に選択します。
  • ファイルの説明: ファイルの説明。
    • 正規表現を使用する: ファイルの説明と突き合わせる際に正規表現を使用する場合に選択します。
  • ファイル バージョン: 突き合わせるファイルのバージョン範囲。
    • 最小: ルールの突き合わせに含める、ファイルの最小バージョン番号。
    • 最大: ルールの突き合わせに含める、ファイルの最大バージョン番号。
  • 製品バージョン: 突き合わせる製品のバージョン範囲。
    • 最小: ルールの突き合わせに含める、最小バージョン番号。
    • 最大: ルールの突き合わせに含める、最大バージョン番号。

関連トピック

許可/拒否ルール

昇格ルール

信頼できるベンダ ルール