許可された項目

このセクション:

許可された項目

ユーザに完全な管理者権限を与えることなく、特定の項目に対するユーザ アクセスを付与するには、許可された項目をルールセットに追加します。 許可された項目は、選択したルールセットの下の [許可された項目] リストに表示されます。

ファイル

たとえば myapp.exe のように、ファイル名だけを指定した場合は、アプリケーションの場所に関係なく、そのすべてのインスタンスが許可されます。 たとえば \\servername\sharename\myapp.exe のように、完全パスでファイルを指定した場合は、アプリケーションのそのインスタンスのみが許可されます。 このアプリケーションの他のインスタンスは、実行が認可されるためには、他の アプリケーション制御 ルールを満足する必要があります。

  1. ルールセットの [実行ファイル制御] ノードを選択します。
  2. 右クリックで [許可] > [ファイル] を選択します。
    [ファイルの追加] ダイアログが表示されます。
  3. [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
  4. [開く] ダイアログで、追加するファイルに移動し、[OK] をクリックします。

    5. 必要な場合、次の項目を選択できます。

    • 可能な場合は環境変数を代入する
    • 正規表現を使用する
  5. [引数] テキストボックスに、任意のコマンドライン引数を入力します。Process Explorer で表示されるすべての引数を入力します。
    コマンドライン引数は、[ファイル] フィールドに入力されていない一致条件にも適用されます。 引数が追加される場合、一致するには、ファイルと引数の両方を満たす必要があります。 任意のプロセスのコマンドラインに表示されるすべての引数 (フラグ、スイッチ、ファイル、GUID など) を追加できます。

拒否されたファイル

許可されたファイル

結果

shutdown.exe

shutdown.exe

引数: -r -t 30

shutdown.exe は、-r -t 30 がコマンドラインで指定されている場合にのみ実行されます。shutdown.exe によって実行される他のインスタンスはすべて拒否されます。

許可された項目も拒否された項目も、その引数を正しく構成するには、Process Explorer で表示されるとおりに指定する必要があります。例:

ファイル: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

コマンドライン: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

これは次のように構成します。

ファイル: winword.exe の絶対パスまたは相対パス

引数: /n C:\example.docx

  1. 必要に応じて、将来参照できるようにファイルの任意の説明を入力します。
  2. 信頼できる所有者ではないユーザによるファイルへのアクセスを可能にするには、[信頼できる所有者によって所有されていない場合でも実行を許可する] を選択します。

    3. 既定では、信頼できる所有権の確認は有効になっています。したがって、アプリケーションは常に、たとえ許可された項目であっても、信頼できる所有権の確認に合格しなければなりません。この設定を使用すると、信頼できる所有権の確認をバイパスできます。 信頼できる所有権の確認を完全に無効化することもできますが、推奨はされません。

  3. イベント選択での設定内容に関係なくすべてのイベントを発生させるには、[イベント フィルタリングを無視する] を選択します。
  4. ファイルにメタデータを追加するには、[メタデータ] タブを選択します。
  5. フィールドを自動的に埋めるには、[ファイルからメタデータを入力] を選択します。

    6. 製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン フィールドを入力できます。

    どのデータも、必要なチェックボックスを選択し、フィールドを編集することで微調整できます。

    ベンダ メタデータが有効な場合は、[実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、ファイル照合中に証明書を検証します。 [検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。

    詳細については、「検証オプション」 をご参照ください。

  6. アクセス回数を追加するには、[アクセス回数] タブを選択します。
  7. アクセス期間は、[ファイルを特定の時刻でのみ実行することを許可する] にチェックを付けた場合にのみ、割り当てることができます。
  8. アクセス回数を適用するには、必要な [日] 列で期間を選択します。複数のタイム スロットをハイライトできます。
  9. 右クリックで [新しく許可された期間] を選択します。選択した期間に陰影が付いて、許可されたことを示します。
  10. ほかのタイムスロットと曜日を設定する場合は、手順12~13を繰り返します。

    11. アクセス回数を超えた場合に実行するアクションを、[構成設定] > [実行ファイル制御] >アクセス時間 で構成できます。

  11. アプリケーション制限を追加するには、[アプリケーション制限] タブを選択します。
  12. [アプリケーション制限を有効にする] を選択します。
  13. 1回のセッションでユーザが実行できる、同じアプリケーションのインスタンス数を入力します。 たとえば、この制限が1に設定されていると、1つのインタンスを実行中のユーザが2つめのインスタンスを実行しようとした場合に、その2つめの実行が許可されません。 メモ: これは、コンピュータ単位ではなく、ユーザ単位で適用されます。
  14. [追加] をクリックして、ルールセットの許可された実行ファイルにこのファイルを追加します。
    ファイルが [許可された項目] 作業領域に追加されます。

フォルダ

1つのフォルダを丸ごと指定できます。 たとえば、\\servername\servershare\myfolder と指定した場合、必要に応じて全サブフォルダも含め、このフォルダ内の全アプリケーションの実行が許可されます。フォルダ内のファイルに対するチェックは行われません。 そのため、このフォルダにコピーされたファイルはすべて実行が許可されます。指定したディレクトリ下のすべてのディレクトリを含めるには、[サブフォルダを含める] を選択します。 アプリケーション制御 エージェントは、ローカル固定ディスク以外のドライブ文字が構成されているパスをすべて無視するため、ネットワーク ファイルまたはフォルダ パスを追加する場合は UNC 名を使用する必要があります。ネットワークにマップされたドライブ文字経由でネットワーク アプリケーションにアクセスすることはできます。 パスが UNC 形式に変換されてから、このパスが構成設定に照らして検証されるためです。 環境変数を自動的に適用するには、[ファイルの追加] ダイアログまたは [フォルダの追加] ダイアログで [可能な場合は環境変数を代入する] を選択します。 これにより、さまざまなコンピュータに適用される、より汎用的なパスになります。 ワイルドカード対応にすると、汎用的なファイル パス指定の制御レベルが上がります。

  1. ルールセットの [実行ファイル制御] ノードを選択します。
  2. 右クリックで [許可] > [フォルダ] を選択します。
    [フォルダの追加] ダイアログが表示されます。
  3. [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
  4. [開く] ダイアログで、追加するフォルダに移動し、[OK] をクリックします。

    5. 必要な場合、次の項目を選択できます。

    • 可能な場合は環境変数を代入する
    • 正規表現を使用する
    • サブフォルダを含める
  5. 必要に応じて、将来に参照するためにフォルダの任意の説明を入力します。
  6. 信頼できる所有者ではないユーザによるファイル フォルダへのアクセスを可能にするには、[信頼できる所有者によって所有されていない場合でも実行を許可する] を選択します。

    7. 既定では、信頼できる所有権の確認は有効になっています。したがって、アプリケーションは常に、たとえ許可された項目であっても、信頼できる所有権の確認に合格しなければなりません。 この設定を使用すると、信頼できる所有権の確認をバイパスできます。信頼できる所有権の確認を完全に無効化することもできますが、推奨はされません。

  7. イベント選択での設定内容に関係なくすべてのイベントを発生させるには、[イベント フィルタリングを無視する] を選択します。
  8. フォルダにメタデータを追加するには、[メタデータ] タブを選択します。
  9. フィールドを自動的に埋めるには、[ファイルからメタデータを入力] を選択します。

    10. 製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン フィールドを入力できます。

    どのデータも、必要なチェックボックスを選択し、フィールドを編集することで微調整できます。

    ベンダ メタデータが有効な場合は、[実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、ファイル照合中に証明書を検証します。 [検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。

    詳細については、「検証オプション」 をご参照ください。

  10. アクセス回数を追加するには、[アクセス回数] タブを選択します。
  11. アクセス期間は、[ファイルを特定の時刻でのみ実行することを許可する] にチェックを付けた場合にのみ、割り当てることができます。
  12. アクセス回数を適用するには、必要な [日] 列で期間を選択します。複数のタイム スロットをハイライトできます。
  13. 右クリックで [新しく許可された期間] を選択します。選択した期間に陰影が付いて、許可されたことを示します。
  14. ほかのタイムスロットと曜日を設定する場合は、手順12~13を繰り返します。

    15. アクセス回数を超えた場合に実行するアクションを、[構成設定] > [実行ファイル制御] >アクセス時間 で構成できます。

  15. [追加] をクリックして、ルールセットの許可された実行フォルダにこのフォルダを追加します。
    フォルダが [許可] 作業領域に追加されます。

ドライブ

ドライブ丸ごとを指定できます。 たとえば、W と指定すると、サブフォルダも含めて、このドライブ上のすべてのアプリケーションの実行が許可されます。ドライブ上のファイルに対するチェックは行われません。そのため、このドライブ上のフォルダにコピーされたファイルはすべて実行が許可されます。

許可された実行可能ドライブを指定できます。

  1. ルールセットの [実行ファイル制御] ノードを選択します。
  2. 右クリックで [許可] > [ドライブ] を選択します。
    [ドライブの追加] ダイアログが表示されます。
  3. 許可するドライブ文字と説明を入力します。
  4. [追加] をクリックして、許可された実行ファイルのリストにこのドライブを追加します。

ファイル ハッシュ

ファイルの追加時にファイルのデジタル ハッシュを指定できます。 これにより、実行可能なファイルを特定しつつ、実行場所は任意とすることができます。

許可された実行ファイル項目をファイル ハッシュ別に追加できます。

  1. ルールセットの [実行ファイル制御] ノードを選択します。
  2. 右クリックで [許可] > [ファイル ハッシュ] を選択します。
    [ファイル ハッシュの追加] ダイアログが表示されます。
  3. [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
  4. [開く] ダイアログで、追加するファイル ハッシュに移動し、[OK] をクリックします。
  5. [引数] テキストボックスに、任意のコマンドライン引数を入力します。Process Explorer で表示されるすべての引数を入力します。
    コマンドライン引数は、[ファイル] フィールドに入力されていない一致条件にも適用されます。 引数が追加される場合、一致するには、ファイルと引数の両方を満たす必要があります。 任意のプロセスのコマンドラインに表示されるすべての引数 (フラグ、スイッチ、ファイル、GUID など) を追加できます。
  6. 必要に応じて、将来参照できるようにファイル ハッシュの任意の説明を入力します。
  7. ファイル ハッシュ値が表示されますので、[再スキャン] を選択してファイル ハッシュを更新します。
  8. イベント選択での設定内容に関係なくすべてのイベントを発生させるには、[イベント フィルタリングを無視する] を選択します。
  9. アクセス回数を追加するには、[アクセス回数] タブを選択します。
  10. アクセス期間は、[ファイルを特定の時刻でのみ実行することを許可する] にチェックを付けた場合にのみ、割り当てることができます。
  11. アクセス回数を適用するには、必要な [日] 列で期間を選択します。複数のタイム スロットをハイライトできます。
  12. 右クリックで [新しく許可された期間] を選択します。選択した期間に陰影が付いて、許可されたことを示します。
  13. ほかのタイムスロットと曜日を設定する場合は、手順12~13を繰り返します。

    14. アクセス回数を超えた場合に実行するアクションを、[構成設定] > [実行ファイル制御] >アクセス時間 で構成できます。

  14. [追加] をクリックして、ルールセットの許可されたファイル ハッシュ項目にこのファイル ハッシュを追加します。
    ファイル ハッシュ項目が [許可] 作業領域に追加されます。

ルール コレクション

任意のルールセットの許可された項目にルール コレクションを追加できます。.

  1. ルールセットの [実行ファイル制御] ノードを選択します。
  2. 右クリックで [許可] > [ルール コレクション] を選択します。
    [ルール コレクション選択] ダイアログが表示されます。
  3. ルールセットに追加するコレクションの [ルールに追加] チェックボックスを選択します。
  4. コレクションを選択すると、次の項目を選択できるようになります。
    • 信頼できない所有者を許可する - ファイルの所有者が信頼できる所有者でない場合であっても、ファイルの実行を許可します。
    • イベント フィルタリングを無視する - イベント選択での設定内容に関係なくすべてのイベントを発生させます。
  5. [OK] をクリックして、ルールセットの許可されたルールコレクションにコレクションを追加します。
    ルール コレクションが [許可] 作業領域に追加されます。

関連トピック

拒否された項目