Application Control 構成の設定
Application Control 機能は、 Application Control の構成エディタで構成します。 このエディタには、Security Controls コンソール内のいくつかの場所からアクセスできます。
- [新規] > [Application Control 構成]
- Application Control 構成、右クリック、新規 Application Control の構成
- [新規] > [エージェント ポリシー] > [Application Control] > [新規]
このオプションの場合、保存後に構成がポリシーに割り当てられます。
最上位ノード [構成設定] には、次の3つのタブがあります。
機能
次の Application Control 機能を選択して、この構成で有効になるようにします。
実行ファイル制御
実行ファイル制御は、構成全体をとおして次の機能をカバーします。
- 信頼できる所有権 - ルール プロセス中、項目の所有権が、構成で指定されている信頼できる所有者のリストと一致していることを確認するため、ファイルおよびフォルダに対して信頼できる所有権の確認が実行されます。
- セキュリティ レベル - 許可されていないファイルを実行するための制限のレベルを指定します。
- 許可された項目と拒否された項目 - ルール セットに適用される、特定の項目に対するアクセスを許可または拒否します。
権限管理
権限管理を利用することで、ルールセットに関連付けできる再利用可能な権限管理ポリシーを作成できます。また、再利用可能な権限管理ポリシーを利用することで、ファイル、フォルダ、ドライブ、ファイル ハッシュ、およびコントロール パネル コンポーネントへのアクセスを昇格させる、または制限することができます。 制御レベルの粒度をより細かくすることで、ソフトウェアのデバッグやインストールを行うための特定の権限を割り当てることや、製品間 (Microsoft Outlook と Microsoft Word など) の相互運用性を管理するための整合性レベルを設定することができます。
権限管理には次の4つの主要機能があります。
- アプリケーションを対象とする権限管理の昇格。
- コントロール パネル コンポーネントや管理スナップインを対象とする権限管理の昇格。
- アプリケーションを対象とする権限管理の降格。
- コントロール パネル コンポーネントや管理スナップインを対象とする権限管理の降格。
ブラウザ制御
ユーザが特定の URL へのアクセスを試行したときに、そのユーザを自動的にリダイレクトするには、この機能を使用します。 禁止された URL のリストを定義することにより、リストされた URL へのアクセスを試行したユーザを、既定の警告ページまたはカスタムの Web ページにリダイレクトします。 特定の URL を許可するという選択肢もありますので、リダイレクトと併用すれば、柔軟性や制御性が高まるとともに、Web サイトの許可リストを作成できます。
Internet Explorer 用には、この機能を構成する前に、エンドポイントごとにインターネット オプションを使用して他社のブラウザ拡張を有効にする必要があります。 または、これを、グループ ポリシーを使用して適用することもできます。
URL リダイレクトは、Internet Explorer 8、9、10、11 と互換性があります。 Chrome を使用する場合は、すべての管理エンドポイントが同じドメインに属している必要があります。
ハッシュ アルゴリズム
ファイル ハッシュは、ファイル自体の実際の内容にしたがってファイルを正確に特定するための手段となります。 各ファイルが検査され、その内容に照らして、デジタル ハッシュ (いわば指紋のようなもの) が生成されます。 アプリケーション制御 では、業界標準のハッシュである SHA-1、SHA256、および Adler-32 を使用します。 何らかの方法でファイルが変更されると、ハッシュも変更されます。
デジタル ハッシュは、その正確性から、究極のセキュリティ方式と考えられています。ファイル自体を除くすべての要素とは無関係に、各ファイルが特定されます。 たとえば、管理者が、コンピュータ システム上のすべての実行ファイルのデジタル ハッシュを取得して記録します。 その後、あるユーザがアプリケーションを実行しようとします。 そのアプリケーションのデジタル ハッシュが計算され、記録された値と比較されます。 合致すると、アプリケーションの実行が許可されます。 それ以外の場合は拒否されます。 この手法の場合、ゼロ デイ保護も提供されます。 新しいアプリケーションの導入がインターセプトされるだけでなく、マルウェアに感染しているアプリケーションもブロックされるからです。
ファイル ハッシュが「信頼できる所有権」と同じような保護を提供するとはいえ、適所にあるセキュリティ システムの維持という観点で時間と管理についても考慮する必要があります。 アプリケーションは、プログラム レベル、バグ フィックス、脆弱性パッチなどの関係で常に更新されています。 つまり、関連付けられたファイルもすべて、常に更新されています。 そのため、たとえば、Microsoft Office に製品レベルが適用された場合、更新された部分を機能させるためには、更新されたファイルの新しいデジタル ハッシュを取得する必要があります。 ダウン時間を排除するため、更新が入手可能になった時点で、これらのハッシュを入手できるように注意を払ってください。 さらに、古いハッシュは削除することをお勧めします。
詳細設定
詳細設定を使用すると、アプリケーション制御 構成が配布されたときに管理エンドポイントに適用される追加設定を構成できます。 新しい詳細設定が含まれている新しい構成を配布すると、エンドポイントに配置されている既存の詳細設定はすべて削除されます。
[詳細設定] タブで、作業領域を右クリックして [追加] を選択すると、使用できる詳細設定のリストが表示されます。 これらの設定は、管理エンドポイントに構成が配布された時点で適用されます。
使用できる詳細設定
| 設定 | データ型 | 説明 |
|---|---|---|
| ADComputerGroupMembershipTimeoutSecs | 数値 | ネストされたコンピュータ グループ ルックアップ実行時のタイムアウト (秒)。 デフォルト設定は120秒で、この値を0に設定するとタイムアウトは無効になります。 |
| ADQueriesEnabled | 数値 | この設定により、システムの識別名およびコンピュータのグループ メンバーシップを決定する際に使用される AD クエリのタイプが制御されます。 値を0に設定すると、ADに対するクエリが無効になり、構成に含まれるコンピュータ グループおよび OU の使用が無効になります。 規定値である1を設定すると、識別名およびダイレクト (ネストされていない) コンピュータ グループの両方の AD クエリを、エージェントが実行するようになります。 構成内のネストされたコンピュータ グループは無視されます。 値2を設定すると、識別名、ダイレクト コンピュータ グループ、およびネストされているコンピュータ グループの AD クエリを、エージェントが実行するようになります。 この設定にすると、CPU の使用率が高くなることにより、DC のパフォーマンスの問題を引き起こす可能性があります。 |
| AlternateTOCheck | 数値 | サードパーティのフィルタ ドライバがシステムにインストールされていると、信頼できる所有権の確認時に、SYSTEM プロセスの CPU 利用率が過剰になる場合がありました。 値1を使用してこの設定を有効にすると、アプリケーション制御 が別の方法で信頼できる所有権を検索するようになるため、場合によっては、この問題を軽減できる可能性があります。 |
| AMFileSystemFilterFailSafe | 数値 | ファイル システムのフィルタ ドライバがフェールセーフ モーで動作するか、フェールセキュア モードで動作するかを構成します。 エージェントで問題が発生して応答を停止した場合は、ドライバがフェールセーフ モードで切断し、それ以上要求をインターセプトしなくなります。 値1はフェールセーフ、0はフェールセキュアを示します。 フェールセーフが既定の設定です。 この設定を変更するには、エージェントを再起動して、有効にする必要があります。 |
| AppHookDelayLoad | テキスト | 設定した遅延時間 (ミリ秒) の後に AmAppHook Dll が読み込まれるようにします。 この設定は、ファイル名単位で構成されます。 形式は <filename+extension>,<delay> です。 ファイル名と拡張子にはワイルドカードを使用できます。 各ペアはセミコロンで区切ります。 例: 「calc.exe,2000;note*.exe,6000」 |
| AppHookEx | テキスト | アプリケーション制御 は、アプリケーション ネットワーク アクセス制御 (ANAC) 機能の一部として Windows フックを利用します。 まれに、フック時にアプリケーションが予期せぬ動作をする場合があります。 この設定は、ANAC の特定の機能がフックされない、つまり ANAC のルールが適用されないアプリケーションのリストです。 1つのアプリケーションが AppHookEx と UrmHookEx の両方に指定されていると、AmAppHook.dll は読み込まれません。 複数のエントリはセミコロン (;) で区切ります。 |
| AppInitDllPosition | 数値 | この設定を使用して、アプリケーション制御 フックの挿入に AsModLdr ドライバを使用するのか Appinit レジストリ キーを使用するのかを指定します。 また、AppInit_DLL レジストリ値の中での AMLdrAppinit.dll の位置を決定するためにも、この設定を使用します。 次のいずれかの値を設定します。
この設定は、Ivanti サポート チームの指示に従って使用してください。 |
|
AssumeActiveSetupDespiteCitrix |
公開されたアプリケーションを使用する Citrix クライアントでは、Windows のアクティブ セットアップは、Citrix クライアント ログオンの一部として実行されません。 既定では、アプリケーション制御 は、クライアントが Citrix プロトコルを使用していることを検出し、アクティブ セットアップを除外対象と見なすため、アクティブ セットアップと見られる状況下では、ブロックされたアプリケーションが許可されることは決してありません。 また、オプションで、アプリケーション制御 は関与している Citrix に対してより厳格なチェックを課すことができます。この設定の値を1に設定すると、拒否されたアプリケーションがこのような状況で許可されている可能性がないか、アプリケーション制御 はより厳格なチェックを課します。 値を2に設定すると、アプリケーション制御 はこのような、アプリケーションが実際のアクティブ セットアップ中にブロックされているかの「Citrix」チェックを停止します。 |
|
| BrowserAppStorePort | 数値 | ブラウザ制御の Chrome 拡張のインストールを許可するために使用するポートを入力します。 |
| BrowserCommsPort | 数値 | ブラウザ拡張からエージェントへの通信に使用されるポートを入力します。 |
| BrowserExtensionInstallHive | 数値 | このエンジニアリング設定を使用すると、管理者は、どのレジストリ ハイブに アプリケーション制御 Chrome ブラウザ拡張をインストールするかを選択できます。 オプションは次のとおりです。
0を選択した場合は、アプリケーション制御 Chrome 拡張機能を配布するための独自のエンタープライズ アプリ ストアを管理者が手動で構成する必要があります。 既定の動作は2で、Chrome 拡張が HKCU にインストールされます。 |
| BrowserHookEx | テキスト | 値を「Chrome.exe」に設定すると、Application Control ブラウザ フック (BrowserHook.dll) への挿入を停止できます。 ブラウザ フックにより、Chrome 拡張が Application Control エージェントとの接続を確立するまで、すべてのネットワーク通信が遮断されます。 このカスタム設定によるコア機能への影響はありません。 |
| BrowserNavigateEx | テキスト | ナビゲーション イベント処理をバイパスするナビゲーション URL のパイプ (|) 区切りのリスト。 このリストの URL には、URL リダイレクトが適用されません。 |
| ComputerOUThrottle | 数値 | この設定は、同時クエリ数を制限することで、接続クライアントごとに、組織単位メンバーシップを確認するための Active Directory ルックアップを制限します。 この調整は、多数の接続クライアントを処理する場合の、ドメイン上のクエリ トラフィック量の削減に役立ちます。 この値を0~65535の範囲で設定します。 |
| DFSLinkMatching | 数値 | DFS リンク パスをルールに追加できます。 DFS リンクと DFS ターゲットは、照合の対象となる個別の独立した項目として処理されます。. ルール適用前にリンクからターゲットに変換されることはありません。 この値を1に設定すると、DFS リンク照合が有効になります。 |
| DirectHookNames | テキスト | アプリケーション制御の Windows フックは、既定では user32.dll を読み込むすべてのプロセスに読み込まれます。 この DLL を読み込まないアプリケーションはフックされません。 user32.dll を読み込まないアプリケーションはすべて、完全パスまたはファイル名のセミコロン区切りリストの一部として、この設定に組み込む必要があります。 |
| DisableAppV5AppCheck | 数値 | 既定では、AppV5 を使用して起動されたアプリケーションはすべて、信頼できる所有権の確認から除外されます。 この動作を無効にするには、この設定を使って値1を指定します。 |
| DisableSESecondDesktop | 数値 | 既定では、自己昇格の監査ダイアログは2番目のデスクトップに表示されます。 メイン デスクトップにダイアログを表示するには、値を1に設定します。 |
| DoNotWalkTree | 数値 | 既定では、プロセス ルールは親キー全体の一致を確認します。 この設定は、は、プロセス ルールに対して、ツリー全体を確認するのではなく、プロセスの直接の親のみを確認するように指示します。 値1を指定すると、この設定が有効になります。 |
| DriverHookEx | テキスト | アプリケーション制御 フック (AMAppHook.Dll) が挿入されないアプリケーションのセミコロン区切りのリスト。アプリケーション制御 で特定の機能を動作させるには、このフックを読み込む必要があります。このカスタム設定は、Ivanti サポート チームの指示に従って使用してください。 |
| EnableScriptPreCheck | 数値 | スクリプト化されたルール内のスクリプトが処理される間、まるで値 false を返したかのように、それらのスクリプトが処理されます。 スクリプトの処理にかかる時間は、スクリプトの内容に応じて異なります。 この設定により、スクリプトの結果に依存するすべてのものが遅延しなくなるため、コンピュータの起動時およびユーザ ログイン時のパフォーマンスが最高になります。 関連スクリプトが完了するまでプロセス群を待機させるには、値を1に設定します。 この設定にすると、コンピュータの起動およびユーザ ログインが非常に低速になる場合があります。 アプリケーション制御 がスクリプトの結果を無期限に待機せずに、30秒のタイムアウトが適用されます。 |
| EnableSignatureOptimization | 数値 | この設定は、署名使用時には、ルール チェックのパフォーマンスを向上させます。 完全パスが一致しないファイルは、同じファイルではないと見なされ、ハッシュ化されません。 有効にするには値を1に設定します。 この設定と ExtendedAuditInfo を有効にすると、ハッシュ化されたファイル名が監査メタデータに表示されなくなります。 |
| ExplicitShellProgram | テキスト | この設定は、アプリケーション アクセス制御 (AAC) で使用されます。 アプリケーション制御 は、シェル プログラム (既定では Explorer.exe) の起動を、そのセッションをログオンと見なすためのトリガーとして扱います。 環境や技術が異なればシェル アプリケーションが変わり、どのようなシェル プログラムなのか、状況によってはエージェントが検出できない場合があります。 アプリケーション制御 は、(規定の shell アプリケーションに加えて) このリスト内のアプリケーションを使用して、どの時点のセッションがログオンであったと見なされるかを決定します。 これは、完全パスまたはファイル名へのセミコロン区切りのリストです。 |
| ExProcessNames | テキスト | フィルタ ドライバから除外すべきファイル名のリスト (スペース区切り)。 この設定を変更するには、エージェントを再起動して、有効にする必要があります。 |
| ExtendedAuditInfo | 数値 | この設定は、監査済みイベントのファイル情報を拡張します。 監査済みイベント内の各ファイルについて、セキュア ハッシュ アルゴリズム1 (SHA-1) ハッシュ、ファイル サイズ、ファイルおよび製品のバージョン、ファイルの説明、ベンダ、会社名、および製品名が報告されます。 この情報は、イベント ログのファイル名の直後に追加されます。 この設定は規定ではオンです。 オフにするには、値0を入力します。 EnableSignatureOptimization 設定が有効になっているときは、ハッシュまたはチェックサムの生成は無効になっています。 |
| ForestRootDNQuery | 数値 | Application Control エージェントがフォレスト ルート クエリを実行できるようにするには、値を1に設定します。 クエリには、デバイス ルールの OU およびコンピュータ グループ メンバーシップの目的で、接続デバイスの識別名を判定するための追跡参照が含まれます。 |
| ImageHijackDetectionInclude | テキスト | 子イメージが破損または修正されずに実行され、最初に要求されたイメージと一致することを保証するために、すべての子プロセスが検証の対象となるプロセス名のリスト。 子プロセスが検証されない場合は強制終了されます。 これは、完全パスまたはファイル名のセミコロン区切りのリストです。 |
| OwnershipChange | 数値 | アプリケーション制御 は、信頼できるファイルが信頼できない所有者によって変更されたかどうかを検出します。 変更された場合には、ファイルの所有者がその信頼できないユーザに変更され、すべての実行要求がブロックされます。 一部のアプリケーションは、アプリケーション制御 が既定では検出しない方法でファイルを上書きするため、ファイルの所有者が変更されません。 有効にすると、アプリケーション制御 は追加のチェックを実行するため、すべてのファイルの変更/上書きが検出されます。 有効にするには、値1に設定します。 |
| RemoveDFSCheckOne | 数値 | ファイルが DFS ドライブに格納されるときに、アプリケーション制御 エージェントは、さまざまな戦略を使用して、正しい UNC パスを評価します。 多数のスクリプトと実行ファイルが Active Directory に保存され、Active Directory で複製される場合、これらの戦略によってログイン中に遅延が生じる可能性があります。 値を1に設定して有効にすると、アプリケーション制御 がこの戦略を無視するため、この状況でのパフォーマンスが向上します。 |
| SECancelButtonText | テキスト | [自己昇格] ダイアログの [キャンセル] ボタンによって表示されるテキスト。 |
| SelfElevatePropertiesEnabled | 数値 | プロパティの自己昇格を有効にするには、この値を1に設定します。 この機能は既定では無効になっています。 |
| SelfElevatePropertiesMenuText | テキスト | プロパティの自己昇格用のコンテキスト メニュー オプションのテキスト。 |
| SEOkButtonText | テキスト | [自己昇格] ダイアログの [OK] ボタンによって表示されるテキスト。 |
|
ShowMessageForBlockedDLLs |
拒否された DLL について アプリケーション制御 アクセス拒否メッセージ ボックスを表示するには、値を1に設定します。 |
|
| UrlRedirectionSecPolicy | 数値 | 既定では、URL リダイレクト機能はセキュリティ ポリシーを無視します。 この技術設定により、管理者は、強制的に URL リダイレクトを構成されたセキュリティ ポリシーに従わせることができます。 有効にするには、値1に設定します。 自己権限付与はサポートされていません。 |
| UrmForceMediumIntegrityLevel | テキスト | アプリケーション用のユーザ権限が昇格されたときの整合性レベル (既定では整合性レベルは高に設定される) を上書きするために使用される、ユーザ権限管理 (UPM) カスタム設定。 この設定を使用すると、レベルが「標準」に下がります。 この値は、ファイル名のセミコロン区切りのリストでなければなりません。 |
| UrmHookEx | テキスト | アプリケーション制御 は、ユーザ権限管理機能の一部として Windows フックを利用します。 まれに、フック時にアプリケーションが予期せぬ動作をします。 この設定により、ユーザ権限管理固有の機能がフックされていないアプリケーションがリストされます。 1つのアプリケーションが AppHookEx と UrmHookEx の両方に指定されていると、AmAppHook.dll は読み込まれません。複数のエントリはセミコロンで区切ります。 |
| UrmPauseConsoleExit | テキスト | ユーザ権限管理機能によって使用されます。 昇格されたコンソール アプリケーションがあると、新しいアプリケーションが新しいコンソール ウィンドウに表示されます。. このアプリケーションは完了まで実行されてから、閉じます。 これは、プログラムの出力を確認したいユーザにとっては問題です。 この設定により、何らかのキーが押下されるまでアプリケーションが保持されるようになります。 これは、完全パスまたはファイル名へのセミコロン区切りのリストです。 |
| UrmSecPolicy | 数値 | 既定では、ユーザ権限管理機能はセキュリティ ポリシーをほぼ無視します。 ユーザ権限管理のルールは、[監査のみ] モードが選択されている場合を除いて、すべてのケースに適用されます。 このカスタム設定により、管理者は、強制的にユーザ権限管理を構成されたセキュリティ ポリシーに従わせることができます。 セキュリティ レベルが [制限なし] または [自己権限付与] の場合、ユーザ権限管理のルールは適用されません。 [制限] レベルの場合、ユーザ権限管理のルールが適用されます。 この設定を有効にするには、値1に設定します。 |