詳細設定

ネストされたコンピュータ グループ ルックアップ実行時のタイムアウト (秒)。 デフォルト設定は120秒で、この値を0に設定するとタイムアウトは無効になります。

この設定により、システムの識別名およびコンピュータのグループ メンバーシップを判定する際に使用される AD クエリのタイプが制御されます。

値を0に設定すると、AD に対するクエリが無効になるとともに、構成に含まれるコンピュータ グループおよび OU の使用が無効になります。

規定値である1を設定すると、識別名およびダイレクト (ネストされていない) コンピュータ グループの両方の AD クエリを、エージェントが実行するようになります。 構成内のネストされたコンピュータ グループは無視されます。

値2を設定すると、識別名、ダイレクト コンピュータ グループ、およびネストされているコンピュータ グループの AD クエリを、エージェントが実行するようになります。 この設定にすると、CPU の使用率が高くなることにより、DC のパフォーマンスの問題を引き起こす可能性があります。

サードパーティのフィルタ ドライバがシステムにインストールされていると、信頼できる所有権の確認時に、SYSTEM プロセスの CPU 利用率が過剰になる場合がありました。 値1を使用してこの設定を有効にすると、アプリケーション制御 が別の方法で信頼できる所有権を検索するようになるため、場合によっては、この問題を軽減できる可能性があります。

ファイル システムのフィルタ ドライバがフェールセーフ モーで動作するか、フェールセキュア モードで動作するかを構成します。 エージェントで問題が発生して応答を停止した場合は、ドライバがフェールセーフ モードで切断し、それ以上要求をインターセプトしなくなります。 値1はフェールセーフ、0はフェールセキュアを示します。 フェールセーフが既定の設定です。 この設定を変更するには、エージェントを再起動して、有効にする必要があります。

設定した遅延時間 (ミリ秒) の後に AmAppHook Dll が読み込まれるようにします。 この設定は、ファイル名単位で構成されます。 形式は <filename+extension>,<delay> です。 ファイル名と拡張子にはワイルドカードを使用できます。 各ペアはセミコロンで区切ります。 例: 「calc.exe,2000;note*.exe,6000」

アプリケーション制御 は、アプリケーション ネットワーク アクセス制御 (ANAC) 機能の一部として Windows フックを利用します。 まれに、フック時にアプリケーションが予期せぬ動作をする場合があります。 この設定は、ANAC 固有の関数がフックされない、つまり ANAC のルールが適用されないアプリケーションのリストです。

1つのアプリケーションが AppHookEx と UrmHookEx の両方に指定されていると、AmAppHook.dll は読み込まれません。 複数のエントリはセミコロン (;) で区切ります。

この設定を使用して、アプリケーション制御 フックの挿入に AsModLdr ドライバを使用するのか Appinit レジストリ キーを使用するのかを指定します。 また、AppInit_DLL レジストリ値の中での AMLdrAppinit.dll の位置を決定するためにも、この設定を使用します。

次のいずれかの値を設定します。

• 0 - AMLdrAppInit.dll を AppInit_DLLs リストの先頭に配置します。
• 1 - AMLdrAppInit.dll を AppInit_DLLs リストの末尾に配置します。
• -1 - AMLdrAppInit.dll を AppInit_DLLs リストと ASModLdr リストから除外します。 AMLdrAppInit.dll を両リストから除外すると、自動挿入は行われなくなります。
• 2 - AMLdrAppInit.dll を、挿入する DLL の ASModLdr リストに追加します。 これは既定の設定です。

この設定は、Ivanti サポート チームの指示に従って使用してください。

このエンジニアリング設定を使用すると、管理者は、どのレジストリ ハイブに アプリケーション制御 Chrome ブラウザ拡張をインストールするかを選択できます。 オプションは次のとおりです。

• 0 - 拡張機能をインストールしません
• 1 - HKLM にインストールします
• 2 - HKCU にインストールします

0 を選択した場合は、アプリケーション制御 Chrome 拡張機能を配布するための独自のエンタープライズ アプリ ストアを管理者が手動で構成する必要があります。 既定の動作は2で、Chrome 拡張が HKCU にインストールされます。

値を「Chrome.exe」に設定すると、Application Control ブラウザ フック (BrowserHook.dll) への挿入を停止できます。 ブラウザ フックにより、Chrome 拡張が Application Control エージェントとの接続を確立するまで、すべてのネットワーク通信が遮断されます。

このカスタム設定によるコア機能への影響はありません。

ナビゲーション イベント処理をバイパスするナビゲーション URL のパイプ (|) 区切りのリスト。 このリストの URL には、URL リダイレクトが適用されません。

この設定は、同時クエリ数を制限することで、接続クライアントごとに、組織単位メンバーシップを確認するための Active Directory ルックアップを制限します。 この調整は、多数の接続クライアントを処理する場合の、ドメイン上のクエリ トラフィック量の削減に役立ちます。 この値を0～65535の範囲で設定します。

DFS リンク パスをルールに追加できます。 DFS リンクと DFS ターゲットは、照合の対象となる個別の独立した項目として処理されます。. ルール適用前にリンクからターゲットに変換されることはありません。 この値を1に設定すると、DFS リンク照合が有効になります。

アプリケーション制御の Windows フックは、既定では user32.dll を読み込むすべてのプロセスに読み込まれます。 この DLL を読み込まないアプリケーションはフックされません。 user32.dll を読み込まないアプリケーションはすべて、完全パスまたはファイル名のセミコロン区切りリストの一部として、この設定に組み込む必要があります。

既定では、AppV5 を使用して起動されたアプリケーションはすべて、信頼できる所有権の確認から除外されます。 この動作を無効にするには、この設定を使って値1を指定します。

既定では、プロセス ルールは親キー全体の一致を確認します。 この設定は、は、プロセス ルールに対して、ツリー全体を確認するのではなく、プロセスの直接の親のみを確認するように指示します。 値1を指定すると、この設定が有効になります。

アプリケーション制御 フック (AMAppHook.Dll) が挿入されないアプリケーションのセミコロン区切りのリスト。アプリケーション制御 で特定の機能を動作させるには、このフックを読み込む必要があります。このカスタム設定は、Ivanti サポート チームの指示に従って使用してください。

スクリプト化されたルール内のスクリプトが処理される間、まるで値 false を返したかのように、それらのスクリプトが処理されます。 スクリプトの処理にかかる時間は、スクリプトの内容に応じて異なります。 この設定により、スクリプトの結果に依存するすべてのものが遅延しなくなるため、コンピュータの起動時およびユーザ ログイン時のパフォーマンスが最高になります。 関連スクリプトが完了するまでプロセス群を待機させるには、値を1に設定します。 この設定にすると、コンピュータの起動およびユーザ ログインが非常に低速になる場合があります。

アプリケーション制御 がスクリプトの結果を無期限に待機せずに、30秒のタイムアウトが適用されます。

この設定は、署名使用時には、ルール チェックのパフォーマンスを向上させます。 完全パスが一致しないファイルは、同じファイルではないと見なされ、ハッシュ化されません。 有効にするには値を1に設定します。

この設定と ExtendedAuditInfo を有効にすると、ハッシュ化されたファイル名が監査メタデータに表示されなくなります。

この設定は、アプリケーション アクセス制御 (AAC) で使用されます。 アプリケーション制御 は、シェル プログラム (既定では Explorer.exe) の起動を、そのセッションをログオンと見なすためのトリガーとして扱います。 環境や技術が異なればシェル アプリケーションが変わり、どのようなシェル プログラムなのか、状況によってはエージェントが検出できない場合があります。 アプリケーション制御 は、(規定の shell アプリケーションに加えて) このリスト内のアプリケーションを使用して、どの時点のセッションがログオンであったと見なされるかを決定します。 これは、完全パスまたはファイル名へのセミコロン区切りのリストです。

フィルタ ドライバから除外すべきファイル名のリスト (スペース区切り)。

この設定を変更するには、エージェントを再起動して、有効にする必要があります。

この設定は、監査済みイベントのファイル情報を拡張します。 監査済みイベント内の各ファイルについて、セキュア ハッシュ アルゴリズム1 (SHA-1) ハッシュ、ファイル サイズ、ファイルおよび製品のバージョン、ファイルの説明、ベンダ、会社名、および製品名が報告されます。 この情報は、イベント ログのファイル名の直後に追加されます。 この設定は規定ではオンです。 オフにするには、値0を入力します。

EnableSignatureOptimization 設定が有効になっているときは、ハッシュまたはチェックサムの生成は無効になっています。

Application Control エージェントがフォレスト ルート クエリを実行できるようにするには、値を1に設定します。 クエリには、デバイス ルールの OU およびコンピュータ グループ メンバーシップの目的で、接続デバイスの識別名を判定するための追跡参照が含まれます。

子イメージが破損または修正されずに実行され、最初に要求されたイメージと一致することを保証するために、すべての子プロセスが検証の対象となるプロセス名のリスト。 子プロセスが検証されない場合は強制終了されます。 これは、完全パスまたはファイル名のセミコロン区切りのリストです。

アプリケーション制御 は、信頼できるファイルが信頼できない所有者によって変更されたかどうかを検出します。 変更された場合には、ファイルの所有者がその信頼できないユーザに変更され、すべての実行要求がブロックされます。 一部のアプリケーションは、アプリケーション制御 が既定では検出しない方法でファイルを上書きするため、ファイルの所有者が変更されません。 有効にすると、アプリケーション制御 は追加のチェックを実行するため、すべてのファイルの変更/上書きが検出されます。 有効にするには、値1に設定します。

ファイルが DFS ドライブに格納されるときに、アプリケーション制御 エージェントは、さまざまな戦略を使用して、正しい UNC パスを評価します。 多数のスクリプトと実行ファイルが Active Directory に保存され、Active Directory で複製される場合、これらの戦略によってログイン中に遅延が生じる可能性があります。 値を1に設定して有効にすると、アプリケーション制御 がこの戦略を無視するため、この状況でのパフォーマンスが向上します。

[自己昇格] ダイアログの [キャンセル] ボタンによって表示されるテキスト。

プロパティの自己昇格を有効にするには、この値を1に設定します。 この機能は既定では無効になっています。

プロパティの自己昇格用のコンテキスト メニュー オプションのテキスト。

[自己昇格] ダイアログの [OK] ボタンによって表示されるテキスト。

既定では、URL リダイレクト機能はセキュリティ ポリシーを無視します。 この技術設定により、管理者は、強制的に URL リダイレクトを構成されたセキュリティ ポリシーに従わせることができます。 有効にするには、値1に設定します。

自己権限付与はサポートされていません。

アプリケーション用のユーザ権限が昇格されたときの整合性レベル (既定では整合性レベルは高に設定される) を上書きするために使用される、ユーザ権限管理 (UPM) カスタム設定。 この設定を使用すると、レベルが「標準」に下がります。 この値は、ファイル名のセミコロン区切りのリストでなければなりません。

アプリケーション制御 は、ユーザ権限管理機能の一部として Windows フックを利用します。 まれに、フック時にアプリケーションが予期せぬ動作をします。 この設定により、ユーザ権限管理固有の関数がフックされないアプリケーションがリストされます。

1つのアプリケーションが AppHookEx と UrmHookEx の両方に指定されていると、AmAppHook.dll は読み込まれません。複数のエントリはセミコロンで区切ります。

ユーザ権限管理機能によって使用されます。 昇格されたコンソール アプリケーションがあると、新しいアプリケーションが新しいコンソール ウィンドウに表示されます。. このアプリケーションは完了まで実行されてから、閉じます。 これは、プログラムの出力を確認したいユーザにとっては問題です。 この設定により、何らかのキーが押下されるまでアプリケーションが保持されるようになります。 これは、完全パスまたはファイル名へのセミコロン区切りのリストです。

既定では、ユーザ権限管理機能はセキュリティ ポリシーをほぼ無視します。 ユーザ権限管理のルールは、[監査のみ] モードが選択されている場合を除いて、すべてのケースに適用されます。 このカスタム設定により、管理者は、強制的にユーザ権限管理を構成されたセキュリティ ポリシーに従わせることができます。 セキュリティ レベルが [制限なし] または [自己権限付与] の場合、ユーザ権限管理のルールは適用されません。 [制限] レベルの場合、ユーザ権限管理のルールが適用されます。

この設定を有効にするには、値1に設定します。