構成設定 > 実行ファイル制御
構成設定 > 実行ファイル制御ノードには、[信頼できる所有者]、[オプション]、[確認]、[アプリケーションの終了]、[アクセス制限] という5つのタブがあります。
このセクション:
信頼できる所有者
[構成設定] > [実行ファイル制御] > [信頼できる所有者] タブに移動します。
- 信頼できる所有権の確認を有効にする - 信頼できる所有権の確認を有効にする場合に選択します。 既定で選択されています。
- 上書き、または名前の変更時にファイルの所有権を変更する - 信頼できる所有権のリストに含まれていない信頼できないユーザによって上書きされる、信頼できる許可されたファイルの所有権変更を行う場合に選択します。
拒否されたファイルが信頼できないユーザによって名前変更されると、拒否項目ルールをバイパスしようとして、所有権が信頼できないユーザに変更されます。 所有権が変更されると、信頼できる所有権の確認によってファイルの実行が防止されます。
注意: 信頼できる所有者をすべて削除することはしないでください。 システム上のアプリケーションが1つも信頼されなくなり、標準ユーザが何も実行できないという結果になります。
[上書き、または名前の変更時にファイルの所有権を変更する] オプションを選択すると、アプリケーション制御 は、実行ファイルの NTFS ファイル所有権が上書きまたは名前変更される場合に、この所有権を選択的に変更します。
信頼できる所有者ではないユーザが、信頼できる所有権または許可項目ルールにより許可されているファイルの上書きを試行した場合、これは、ファイルの内容が変更されていれば、セキュリティ脅威に当たる可能性があります。 アプリケーション制御 は、上書きされたファイルの所有権を、処理を実行しているユーザに変更することで、ファイルを信頼できないものとし、システムがセキュアであることを保証します。
同様に、拒否されたファイルの名前を、許可された項目の名前に変更しようとする試みも、セキュリティ脅威に当たる可能性があります。 アプリケーション制御 は、これらのファイルの所有権も、名前変更処理を実行しているユーザに変更することで、信頼できないファイルのままにします。
上書き処理と名前変更処理は、どちらも監査されます。
信頼できる所有者の追加
- [構成設定] > [実行ファイル制御] > [信頼できる所有者] タブで、作業領域を右クリックして、[追加] を選択します。
- [信頼できる所有者の追加] ダイアログが表示されます。
- 追加するユーザ名を入力するか、または参照して選択します。
- [追加] をクリックします。これでユーザが、固有 SID 付きでリストに追加されます。
信頼できる所有権のテスト
現在機能している信頼できる所有権を表示するための即時テストです。:
- テスト ユーザ アカウントを使用して1つ以上のアプリケーションを導入します。
- System32 フォルダの calc.exe、または CD 内のファイルなど、1つ以上のアプリケーションを ユーザのホーム ドライブまたは別の適所にコピーします。
- コピーしたファイルを実行してみます。 ファイルの所有者はテスト ユーザであり、信頼できる所有者リストのメンバーではないため、アプリケーションは拒否されます。
Windows エクスプローラでプロパティを表示することにより、ファイルの所有権を確認できます。
オプション
使用できるすべてのオプションと、それぞれのオプションで実行できることを、下表に示します。
|
オプション |
説明 |
|---|---|
|
既定でローカル ドライブを許可する |
アプリケーション制御 の構成値を拒否リストにするには、このオプションを選択します。ローカル ドライブ上のものはすべて、拒否項目リストに指定されている場合を除き、または信頼できる所有権の確認に不合格になっている場合を除き、許可されます。 構成値を許可リストにするには、このオプションを選択解除します。 ローカル ドライブ上のものはすべて、許可項目リストに指定されている場合を除き、ブロックされます。 許可リスト構成が最もセキュアです。 ただし、このタイプの構成は実践に時間がかかり、指定されていないアプリケーションがすべてブロックされるためクライアントの安定性に影響する可能性があります。 |
|
バッチ ファイルの cmd.exe を許可する |
管理者が アプリケーション制御 構成で明示的に cmd.exe を禁止することが予想されます。 cmd.exe が拒否されていて、「バッチ ファイルの cmd.exe を許可する」が無効になっている場合、バッチ ファイルは評価され、アプリケーション制御 ポリシーに照らして不合格となった場合はブロックされます。 このオプションが選択されておらず、cmd.exe が明示的に拒否されていると、バッチ ファイルはすべてブロックされ、評価もされません。 このオプションが選択されていて cmd が明示的に拒否されていると、 cmd.exe はやはりそのままでは実行できませんが、バッチ ファイルは アプリケーション制御 ルールに照らして評価されます。 cmd.exe が明示的に拒否されていなければ、このオプションが選択されているかどうかに関係なく、すべてのバッチ ファイルが実行されます。 |
|
ログオン中に制限を無視する |
ログオン中、コンピュータは多数の必須アプリケーションを実行する場合があります。 これらの実行をブロックすると、コンピュータが正常に機能しなくなる、またはまったく機能しなくなる原因となる可能性があります。 そのため、既定でこのオプションが選択されています。 |
|
自己解凍 ZIP ファイルを展開する |
自己解凍 (展開) ファイルとは、ZIP ファイルと、それを解凍するための小さなプログラムが含まれている実行ファイルです。 MSI ファイルでアプリケーションをインストールする代わりに、これらのファイルが使用される場合があります。 多くの管理者は、MSI ファイルによってのみアプリケーションがインストールされることを好みます。 ZIP 仕様を使用する自己展開型 EXE 形式のみがサポートされます。 詳細は、ZIP 仕様をご参照ください。 [自己解凍 ZIP ファイルを展開する] オプションを使用すると、自己解凍型の ZIP ファイルである拒否された実行ファイルを、ZIP 抽出プログラムで解凍できるようになります。このオプションが選択解除されていると (既定の設定)、ファイルはあたかも実行ファイルであるかのように、通常のルール処理の対象となります。 コンテンツが抽出された後、含まれていた実行可能コンテンツはすべて、依然として通常の信頼できる所有権の確認の対象となり、ユーザが信頼できる所有者でない場合は実行が阻止されます。 これは、自己解凍 ZIP ファイルに非実行可能コンテンツ (ユーザにとって必要な文書など) が含まれている可能性があるシナリオにおいて有益です。 既定では、このオプションは選択解除されていて、自己解凍 ZIP ファイルは標準の実行ファイルとして扱われ通常のルール処理を条件として実行 (したがってコンテンツの抽出) を阻止できます。 |
|
Active Setup 中の制限を無視する |
既定では、Active Setup 中に実行されるすべてのアプリケーションが アプリケーション制御 ルールの対象となります。 これらのアプリケーションを Active Setup フェーズ中のルール チェックから免除するには、このオプションを選択します。 |
|
リムーバブル メディアのファイルを拒否する |
リムーバブル メディアに対する制限を削除するには、このオプションを選択解除します。 リムーバブル メディアは、GetDriveType の呼び出しによる判定の対象となるものすべてです。 このリムーバブル メディアの性質により、エンドポイントがどのように設定されているかによってドライブ文字が変わる可能性があります。 たとえば、あるコンピュータではリムーバブル メディア ドライブとして E が特定されても、別のコンピュータでは F が特定される場合があります。 |
|
ネットワーク共有のファイルを拒否する |
ネットワーク共有の場合の構成の規定値は許可リストです。つまり、ネットワーク共有上のものはすべて、許可された項目リストに指定されている場合を除き、拒否されます。 信頼できる所有権チェックに失敗しない限り、または拒否される項目リストに指定されている場合を除き、ネットワーク共有上のものがすべて許可されるように、この構成値を拒否リストにするには、このオプションの選択を解除します。 |
確認
確認用のすべてのオプションとその説明を下表に示します。
|
オプション |
説明 |
|---|---|
|
システム プロセスの確認 |
システム ユーザによって実行されるすべてのファイルを確認するには、このオプションを選択します。このオプションを選択することは推奨されません。 エンドポイント コンピュータで発生する確認の量が増えて、重大なアプリケーションの実行がブロックされる可能性があるためです。 このオプションを選択するということは、システムによって起動されるすべての実行ファイルが、ルール確認の対象になることを意味します。 |
|
WSH (Windows Script Host) スクリプトの確認 |
このオプションを選択すると、wscript または cscript を使用して実行されたスクリプトのコマンド ラインの内容がルール確認の対象になります。 スクリプトはウイルスや悪意のあるコードを持ち込む可能性があります。 WSH スクリプトを検証することをお勧めします。 |
|
MSI (Windows インストーラ) パッケージの確認 |
MSI ファイルは、Windows アプリケーションの標準的なインストール方法です。 MSI アプリケーションを自由にインストールする権限をユーザに許可しないことをお勧めします。 このオプションを選択するということは、すべての MSI がルール確認の対象になることを意味します。 このオプションを選択解除するということは、アプリケーション制御 ルール処理によって確認されるものが Windows インストーラそのもの (msiexec.exe) になり、Windows インストーラが実行を試行する MSI ファイルは確認されないことを意味します。 |
|
レジストリ ファイルの確認 |
regedit.exe および regini.exe に対するルール確認を有効にするには、このオプションを選択します。 このオプションを選択解除するということは、regedit.exe と regini.exe が既定ではブロックされなくなることを意味します。 さらに、.reg スクリプトと、このスクリプトが実行を試行している regedit.exe と regini.exe が アプリケーション制御 ルール処理によって確認されなくなります。 ユーザがレジストリやレジストリ ファイルにアクセスすることを許可するのは推奨されません。 |
|
PowerShell スクリプトの確認 |
有効にすると、powershell.exe と powershell_ise.exe が拒否されるようになります。 ただし、PowerShell スクリプト (PS1ファイル) がコマンドライン上で検出された場合は、完全なルール チェックの対象となり、昇格、許可、または拒否の対象として構成されているかどうかがチェックされます。 |
|
Java アーカイブの確認 |
有効にすると、java.exe と javaw.exe が拒否されるようになります。 ただし、Java アーカイブ (JAR ファイル) がコマンドライン上で検出された場合は、完全なルール チェックの対象となり、許可または拒否されているかどうかがチェックされます。 |
アプリケーションの終了
アプリケーションの終了を使用すると、管理されたエンドポイント上のアプリケーションを終了するためのトリガーと動作を制御できます。 アプリケーションを正常に停止できるため、ユーザは作業内容を保存してから閉じることも、強制終了することもできます。
アプリケーションの終了は既定では無効になっています。 この機能を有効にするには、[構成設定] > [実行ファイル制御] > [アプリケーションの終了] タブで [アプリケーションの終了を有効にする] を選択します。
アプリケーションを終了するためのトリガーとしては、次のようなものがあります。
- 新しい構成が適用された
- コンピュータの IP アドレスが変更された
- 接続しているデバイスが変更された
何らかのトリガーがアクティブになると、ルールに照らしてプロセス群が評価され、アプリケーションの終了が必要かどうかが判定されます。 セキュリティ レベルが「自己権限付与」と「監査のみ」のルールは評価されません。 自己権限付与ルールはアプリケーション制御に関してユーザの自由裁量を許すものであり、監査のみルールは アプリケーション制御 による制御を適用しないからです。
アプリケーションの終了のためのトリガーの構成
|
オプション |
説明 |
|---|---|
|
構成の適用時 |
適用される構成に従ってアプリケーションを終了するには、このオプションを選択します。 |
|
コンピュータ IP アドレスの変更時 |
コンピュータの IP アドレスが変更されたとき、たとえばセキュア環境と非セキュア環境間での移動があったときにアプリケーションを終了する場合は、このオプションを選択します。 例をご参照ください。 |
|
接続デバイスの変更時 |
接続しているデバイスが変わったとき、たとえば同じセッション中にデスクトップからラップトップに変わったときにアプリケーションを終了するには、このオプションを選択します。 |
例: コンピュータ IP アドレスの変更時
[アプリケーションの終了] を使用して、IP アドレスが変更されたときにアプリケーションを終了します。 たとえば、IP アドレスが会社の IP アドレス範囲外になったときです。
手順 1 - [アプリケーションの終了] オプションの設定
- [構成設定] > [実行ファイル制御] > [アプリケーションの終了] タブで [アプリケーションの終了] を有効にします。
- [コンピュータ IP アドレスの変更時] オプションを選択します。
- 終了時に次のどの処理を適用するかを定義します。
- 初期警告メッセージを表示する
- アプリケーションを閉じる
- アプリケーションを終了する
3つすべてのオプションを選択し、次の処理までの待機時間 (秒) を最大120秒まで設定できます。
手順2 - オフィス内での作業を対象とするデバイス ルールの設定
この手順では、オフィス内で許可される IP アドレス範囲を設定します。
- ナビゲーション ウィンドウで [ルールセット] ノードを選択します。
- [デバイス] を選択し、右クリックしてショートカットメニューを表示します。
- [デバイス ルールセットを追加] を選択します。
[デバイス] ノードの下に子ノードが作成されます。 - この新しいノードをクリックして名前変更するか、またはハイライトさせ、右クリックで [名前の変更] を選択します。
- 直感でわかるような名前、たとえば「オフィス内」などと入力します。
- 作業領域を右クリックして、このルールセットにデバイスを追加します。 [ホスト名または IP アドレス] を選択します。
- [クライアント デバイスの追加] ダイアログが表示されます。
- 許可される IP アドレス範囲を入力し、[追加] をクリックします。
手順3 - オフィス外を対象とするデバイス ルールの設定
この手順では、たとえば別の場所から VPN を使用する場合などに許可されない IP アドレス範囲を設定します。
- 手順2で行ったように新しいデバイス ルールセットを作成します。
- 直感でわかるような名前、たとえば「オフィス外」などと入力します。
- 作業領域を右クリックして [クライアント デバイスの追加] を選択します。
- [クライアント デバイスの追加] ダイアログが表示されます。
次のいずれかを実行します。
- 許可されない IP アドレス範囲を入力します。
- 他のすべての IP アドレスを暗黙指定するには *.*.*.* と入力します。
- [追加] をクリックします。
手順4 - 構成の保存
構成の[保存] をクリックします。
アプリケーションの終了時に適用される処理の構成
|
オプション |
説明 |
|---|---|
|
初期警告メッセージを表示する |
拒否されたアプリケーションが閉じられるため作業内容を保存するよう、ユーザに知らせる初期警告メッセージを表示します。 [待ち時間 (秒)..].オプションを使用して、閉じるまでの時間を指定できます。 [アプリケーションを閉じる] および [アプリケーションの終了] オプションとともに使用します。これらのオプションとともに使用しないと、メッセージは表示されますが、拒否されたアプリケーションは閉じません。 |
|
アプリケーションを閉じる |
初期警告メッセージに続けてアプリケーションを閉じます。ユーザに作業内容を保存する時間が与えられます。 |
|
アプリケーションを終了する |
警告メッセージを表示せずに拒否されたアプリケーションを終了します。 |
|
処理間で待機する秒数 |
処理と処理の間の時間間隔を秒で指定します。 閉じてから終了するまでの時間間隔も指定します。最大時間間隔は 120 秒です。 |
アクセス時間
許可されたアクセス時間を超えたアプリケーションがある場合に適用する処理を指定できます。たとえば、アプリケーションを閉じる前に作業内容を保存できるようにするか、または警告と同時にアプリケーションを閉じるだけにするか、といったことも指定できます。
初期警告メッセージを表示する - アプリケーションが時間制限を超えた場合にユーザに初期警告メッセージを表示する場合は、このオプションを選択します。 これにより、通常は、作業内容を保存してアプリケーションを閉じる時間がユーザに与えられます。 [アプリケーションを閉じる] および [アプリケーションの終了] オプションとともに使用します。 これらのオプションとともに使用しないと、メッセージのみが表示され、アプリケーションは閉じません。
[アプリケーションを閉じる] - CLOSE メッセージをアプリケーションに送信する場合は、このオプションを選択します。 大半のアプリケーションが CLOSE メッセージを受信すると、作業内容を保存するための機会が自動的にユーザに与えられます。 [初期警告メッセージを表示する] オプションとともに選択します。
アプリケーションを終了する - 作業内容の保存をユーザに許すことなくアプリケーションを終了します。 通常これは、アプリケーションに CLOSE メッセージが送信されたがアプリケーションが終了に失敗している場合に使用します。 [初期警告メッセージを表示する] かどうかを選択しますが、それに関係なくアプリケーションは終了します。
処理間で待機する秒数 - 選択した各終了オプションの間の待機時間を秒数で指定します。 たとえば、3つの終了オプションすべてを選択して20秒を選択した場合は、警告メッセージが表示され、20秒してから CLOSE メッセージが表示され、最終的にさらに20秒してからアプリケーションが終了します。 既定では60秒に設定されています。
アクセス時間は、ファイル、フォルダ、およびファイル ハッシュの許可された項目で指定できます。