拒否された項目

このセクション:

拒否された項目

特定の項目へのアクセスを制限するには、拒否された項目をルールセットに追加します。 拒否された項目は、選択したルールセットの下の [拒否された項目] リストに表示されます。

既定のオプション (ローカルにインストールされている信頼できる所有者の全アプリケーションを信頼する) を使用している場合は、ユーザに実行させたくない特定のアプリケーションを追加するだけで済みます。 たとえば、マネジメント ツールやレジストリ編集ツールなどの管理ツールを追加できます。

このリストを使用して、信頼できる所有権の確認によってブロックされたために管理者が所有していないアプリケーションを拒否する必要はありません。

アプリケーション制御 のドラッグ アンド ドロップ機能を使用することで、Windows エクスプローラ からの項目 (ファイル、フォルダ、ドライブ、署名) の追加や、各メイン構成ノードの [許可された項目] ノードと [拒否された項目] ノード間での項目のコピーや移動を行えます。

ファイル

たとえば myapp.exe のように、ファイル名だけを指定した場合は、アプリケーションの場所に関係なく、そのすべてのインスタンスが拒否されます。 たとえば \\servername\sharename\myapp.exe のように、完全パスでファイルを指定した場合は、アプリケーションのそのインスタンスのみが拒否されます。

  1. ルールセットの [実行ファイル制御] ノードを選択します。
  2. 右クリックで [拒否] > [ファイル] を選択します。
    [ファイルの追加] ダイアログが表示されます。
  3. [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
  4. [開く] ダイアログで、追加するファイルに移動し、[OK] をクリックします。
    必要な場合、次の項目を選択できます。
    • 可能な場合は環境変数を代入する
    • 正規表現を使用する
  5. [引数] テキストボックスに、任意のコマンドライン引数を入力します。Process Explorer で表示されるすべての引数を入力します。
    コマンドライン引数は、[ファイル] フィールドに入力されていない一致条件にも適用されます。 引数が追加される場合、一致するには、ファイルと引数の両方を満たす必要があります。 任意のプロセスのコマンドラインに表示されるすべての引数 (フラグ、スイッチ、ファイル、GUID など) を追加できます。

拒否されたファイル

許可されたファイル

結果

shutdown.exe

shutdown.exe

引数: -r -t 30

shutdown.exe は、-r -t 30 がコマンドラインで指定されている場合にのみ実行されます。shutdown.exe によって実行される他のインスタンスはすべて拒否されます。

許可された項目も拒否された項目も、その引数を正しく構成するには、Process Explorer で表示されるとおりに指定する必要があります。例:

ファイル: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

コマンドライン: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

これは次のように構成します。

ファイル: winword.exe の絶対パスまたは相対パス

引数: /n C:\example.docx

  1. 必要に応じて、将来参照できるようにファイルの任意の説明を入力します。
  2. ユーザに知らせずにサイレントにファイルをブロックするには、[拒否されたときにアクセス拒否メッセージを表示しない] を選択します。
  3. イベント選択での設定内容に関係なくすべてのイベントを発生させるには、[イベント フィルタリングを無視する] を選択します。
  4. ファイルにメタデータを追加するには、[メタデータ] タブを選択します。
  5. フィールドを自動的に埋めるには、[ファイルからメタデータを入力] を選択します。

    6. 製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン フィールドを入力できます。

    どのデータも、必要なチェックボックスを選択し、フィールドを編集することで微調整できます。

    ベンダメタデータが有効な場合は、 [実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、ファイル照合中に証明書を検証します。 [検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。

    詳細については、「検証オプション」 をご参照ください。

  6. [追加] をクリックして、ルールセットの拒否された実行ファイルにこのファイルを追加します。
    ファイルが [拒否された項目] 作業領域に追加されます。

フォルダ

1つのフォルダを丸ごと指定できます。たとえば、\\servername\servershare\myfolder と指定した場合、全サブフォルダも含め、このフォルダ内の全アプリケーションが拒否されます。 このフォルダ内のファイルに対するチェックは行われず、したがってこのフォルダにコピーされたファイルはすべて拒否されます。

アプリケーション制御 エージェントは、ローカル固定ディスク以外のドライブ文字が構成されているパスをすべて無視するため、ネットワーク ファイルまたはフォルダ パスを追加する場合は UNC 名を使用する必要があります。ネットワークにマップされたドライブ文字経由でネットワーク アプリケーションにアクセスすることはできます。 これにより、さまざまなコンピュータに適用される、より汎用的なパスになります。 ワイルドカード対応にすると、汎用的なファイル パス指定の制御レベルが上がります。

  1. ルールセットの [実行ファイル制御] ノードを選択します。
  2. 右クリックで [拒否] > [フォルダ] を選択します。
    [フォルダの追加] ダイアログが表示されます。
  3. [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
  4. [開く] ダイアログで、追加するフォルダに移動し、[OK] をクリックします。
    必要な場合、次の項目を選択できます。
    • 可能な場合は環境変数を代入する
    • 正規表現を使用する
    • サブフォルダを含める
  5. 必要に応じて、将来に参照するためにフォルダの任意の説明を入力します。
  6. ユーザに知らせずにサイレントにフォルダをブロックするには、[拒否されたときにアクセス拒否メッセージを表示しない] を選択します。
  7. イベント選択での設定内容に関係なくすべてのイベントを発生させるには、[イベント フィルタリングを無視する] を選択します。
  8. フォルダにメタデータを追加するには、[メタデータ] タブを選択します。
  9. フィールドを自動的に埋めるには、[ファイルからメタデータを入力] を選択します。

    10. 製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン フィールドを入力できます。

    どのデータも、必要なチェックボックスを選択し、フィールドを編集することで微調整できます。

    ベンダメタデータが有効な場合は、 [実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、ファイル照合中に証明書を検証します。 [検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。

    詳細については、「検証オプション」 をご参照ください。

  10. [追加] をクリックして、ルールセットの拒否された実行フォルダにこのフォルダを追加します。
    フォルダが [拒否] 作業領域に追加されます。

ドライブ

ドライブ丸ごとを指定できます。 たとえば、W と指定すると、サブフォルダも含めて、このドライブ上のすべてのアプリケーションが拒否されます。ドライブ上のファイルに対するチェックは行われません。そのため、このドライブ上のフォルダにコピーされたファイルはすべて拒否されます。

拒否された実行可能ドライブを指定できます。

  1. ルールセットの [実行ファイル制御] ノードを選択します。
  2. 右クリックで [拒否] > [ドライブ] を選択します。
    [ドライブの追加] ダイアログが表示されます。
  3. 拒否するドライブ文字と説明を入力します。
  4. ユーザに知らせずにサイレントにドライブをブロックするには、[拒否されたときにアクセス拒否メッセージを表示しない] を選択します。
  5. [追加] をクリックして、拒否された実行ファイルのリストにこのドライブを追加します。

ファイル ハッシュ

ファイルの追加時にファイルのデジタル ハッシュを指定できます。 これにより、拒否されるファイルを特定しつつ、実行場所は任意とすることができます。

拒否された実行ファイル項目をファイル ハッシュ別に追加できます。

  1. ルールセットの [実行ファイル制御] ノードを選択します。
  2. 右クリックで [拒否] > [ファイル ハッシュ] を選択します。
    [ファイル ハッシュの追加] ダイアログが表示されます。
  3. [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
  4. [開く] ダイアログで、追加するファイル ハッシュに移動し、[OK] をクリックします。
  5. [引数] テキストボックスに、任意のコマンドライン引数を入力します。Process Explorer で表示されるすべての引数を入力します。
    コマンドライン引数は、[ファイル] フィールドに入力されていない一致条件にも適用されます。 引数が追加される場合、一致するには、ファイルと引数の両方を満たす必要があります。 任意のプロセスのコマンドラインに表示されるすべての引数 (フラグ、スイッチ、ファイル、GUID など) を追加できます。
  6. 必要に応じて、将来参照できるようにファイル ハッシュの任意の説明を入力します。
  7. ファイル ハッシュ値が表示されますので、[再スキャン] を選択してファイル ハッシュを更新します。
  8. ユーザに知らせずにサイレントにファイルをブロックするには、[拒否されたときにアクセス拒否メッセージを表示しない] を選択します。
  9. イベント選択での設定内容に関係なくすべてのイベントを発生させるには、[イベント フィルタリングを無視する] を選択します。
  10. [追加] をクリックして、ルールセットの拒否されたファイル ハッシュ項目にこのファイル ハッシュを追加します。
    ファイル ハッシュ項目が [拒否] 作業領域に追加されます。

ルール コレクション

ルール コレクションには、特定のアプリケーションについて、たとえばファイル、フォルダ、ドライブ、署名、ネットワークなどの項目を、任意の数だけ、また任意の組み合わせで含めることができます。 すべてのファイルが拒否されます。

  1. ルールセットの [実行ファイル制御] ノードを選択します。
  2. 右クリックで [拒否] > [ルール コレクション] を選択します。
    [ルール コレクション選択] ダイアログが表示されます。
  3. ルールセットに追加するコレクションの [ルールに追加] チェックボックスを選択します。
  4. コレクションを選択すると、次の項目を選択できるようになります。
    • サイレント拒否 - メッセージを表示せずに項目をブロックします。
    • イベント フィルタリングを無視する - イベント選択での設定内容に関係なくすべてのイベントを発生させます。
  5. [OK] をクリックして、ルールセットの拒否されたルールコレクションにコレクションを追加します。
    ルール コレクションが [拒否] 作業領域に追加されます。

関連トピック

許可された項目