ルールセットの権限管理
このセクション:
アプリケーション
項目を無効にするには、その項目を強調表示させ、右クリックして [状態を変更] を選択します。 無効と有効が切り替わります。 これは、サポートによるトラブルシューティングが必要なときに役立ちます。
ファイルの追加
- ルール セットの [権限管理] ノードを選択します。
- 右クリックして [アプリケーション] > [ファイル] を選択します。
[ユーザ権限管理のファイルを追加] ダイアログが表示されます。 - [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
- [開く] ダイアログで、追加するファイルに移動し、[OK] をクリックします。
- 可能な場合は環境変数を代入する
- 正規表現を使用する
- ファイルを許可された項目にする。 選択した場合、信頼できる所有者によって所有されていない場合でもそのファイルの実行を許可するように選択することもできます。
- [引数] テキストボックスに、任意のコマンドライン引数を入力します。Process Explorer で表示されるすべての引数を入力します。
- コマンドライン引数は、[ファイル] フィールドに入力されていない一致条件にも適用されます。 引数が追加される場合、一致するには、ファイルと引数の両方を満たす必要があります。 任意のプロセスのコマンドラインに表示されるすべての引数 (フラグ、スイッチ、ファイル、GUID など) を追加できます。
必要な場合、次の項目を選択できます。
有効な引数の例については、「引数の例」をご参照ください。
|
拒否されたファイル |
許可されたファイル |
結果 |
|---|---|---|
|
shutdown.exe |
shutdown.exe 引数: -r -t 30 |
shutdown.exe は、-r -t 30 がコマンドラインで指定されている場合にのみ実行されます。shutdown.exe によって実行される他のインスタンスはすべて拒否されます。 |
許可された項目も拒否された項目も、その引数を正しく構成するには、Process Explorer で表示されるとおりに指定する必要があります。例:
ファイル: C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE
コマンドライン: "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx
これは次のように構成します。
ファイル: winword.exe の絶対パスまたは相対パス
引数: /n C:\example.docx
- ポリシーを適用するには、[ポリシー] セクションのドロップダウンから、ポリシーを選択します。
- ポリシーで次のオプションを選択できます。
- 子プロセスに適用する
- 共有ダイアログに適用する
- 信頼できる所有者としてインストール
- 必要に応じて、将来参照できるようにファイルの任意の説明を入力します。
- メタデータをファイルに追加するには、[メタデータ] タブを選択します。
- フィールドを自動的に埋めるには、[ファイルからメタデータを入力] を選択します。
- [追加] をクリックして、ファイルをルール セットに追加します。
ファイル項目が [権限管理] 作業領域のアプリケーション ビューに追加されます。
製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン フィールドを入力できます。
どのデータも、必要なチェックボックスを選択し、フィールドを編集することで微調整できます。
ベンダメタデータが有効な場合は、 [実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、ファイル照合中に証明書を検証します。 [検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。
詳細については、「検証オプション」 をご参照ください。
フォルダの追加
- ルール セットの [権限管理] ノードを選択します。
- 右クリックして [アプリケーション] > [フォルダ] を選択します。
[ユーザ権限管理のフォルダを追加] ダイアログが表示されます。 - [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
- [開く] ダイアログで、追加するフォルダに移動し、[OK] をクリックします。
- 可能な場合は環境変数を代入する
- サブフォルダを含める
- 正規表現を使用する
- フォルダを許可された項目にする。 選択した場合、信頼できる所有者によって所有されていない場合でもそのファイル群の実行を許可するように選択することもできます。
- ポリシーを適用するには、[ポリシー] セクションのドロップダウンから、ポリシーを選択します。
- ポリシーで次のオプションを選択できます。
- 子プロセスに適用する
- 共有ダイアログに適用する
- 信頼できる所有者としてインストール
- 必要に応じて、将来に参照するためにフォルダの任意の説明を入力します。
- フォルダにメタデータを追加するには、[メタデータ] タブを選択します。
- フィールドを自動的に埋めるには、[ファイルからメタデータを入力] を選択します。
- [追加] をクリックして、フォルダをルール セットに追加します。
フォルダ項目が [権限管理] 作業領域のアプリケーション ビューに追加されます。
必要な場合、次の項目を選択できます。
製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン フィールドを入力できます。
どのデータも、必要なチェックボックスを選択し、フィールドを編集することで微調整できます。
ベンダメタデータが有効な場合は、 [実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、ファイル照合中に証明書を検証します。 [検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。
詳細については、「検証オプション」 をご参照ください。
ファイル ハッシュの追加
選択したポリシーの適用先となる新しいファイル ハッシュを指定できます。 ファイル ハッシュの追加に関する詳細情報。
- ルール セットの [権限管理] ノードを選択します。
- 右クリックして [アプリケーション] > [ファイル ハッシュ] を選択します。
[ユーザ権限管理のファイル ハッシュを追加] ダイアログが表示されます。 - [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
- [開く] ダイアログで、追加するファイル ハッシュに移動し、[OK] をクリックします。
- ファイル ハッシュを許可された項目にする。 ファイル ハッシュを [許可された項目] リストに追加する場合に選択します。
- [引数] テキストボックスに、任意のコマンドライン引数を入力します。Process Explorer で表示されるすべての引数を入力します。
- コマンドライン引数は、[ファイル] フィールドに入力されていない一致条件にも適用されます。 引数が追加される場合、一致するには、ファイルと引数の両方を満たす必要があります。 任意のプロセスのコマンドラインに表示されるすべての引数 (フラグ、スイッチ、ファイル、GUID など) を追加できます。
- ポリシーを適用するには、[ポリシー] セクションのドロップダウンから、ポリシーを選択します。
- ポリシーで次のオプションを選択できます。
- 子プロセスに適用する
- 共有ダイアログに適用する
- 信頼できる所有者としてインストール
- 必要に応じて、将来参照できるようにファイル ハッシュの任意の説明を入力します。
- ファイル ハッシュ値が表示されますので、[再スキャン] を選択してファイル ハッシュを更新します。
- [追加] をクリックして、ファイル ハッシュをルール セットに追加します。
ファイル ハッシュ項目が [権限管理] 作業領域のアプリケーション ビューに追加されます。
ルール コレクションの追加
- ルール セットの [権限管理] ノードを選択します。
- 右クリックして [アプリケーション] > [ルール コレクション] を選択します。
[ルール コレクション選択] ダイアログが表示されます。 - ルールセットに追加するコレクションの [ルールに追加] チェックボックスを選択します。
- コレクションを選択後、次の設定を指定できます。
- 許可に設定する - そのルール コレクションを許可された項目にする場合に選択します。
- 信頼できない所有者を許可する - [許可に設定する] を選択すると、信頼できる所有者によって所有されていない場合でもそのファイル群の実行を許可するように選択できます。
- 子プロセスに適用する - 設定をすべての子プロセスに適用する場合に選択します。
- 共有ダイアログに適用する - 設定を共有ダイアログに適用する場合に選択します。
- 信頼できる所有者としてインストールする - 信頼できる所有者としてインストールする場合に選択します。
- [OK] をクリックして、コレクションを [権限管理] 作業領域のアプリケーション ビューに追加します。
コンポーネント
コンポーネントの追加 [コンポーネントの選択] ダイアログを表示します。
サポートされているオペレーティング システム別にビューをフィルタリングし、ルールに追加するコントロール パネルおよび管理スナップイン コンポーネントの名前を選択します。
自己昇格
自己昇格を有効にする - 自己昇格を有効にし、必要な設定を適用する場合に選択します。
- 以下のリストの項目にのみ自己昇格を適用する
- 以下のリストの項目を除くすべての項目に自己昇格を適用する
オプション - [自己昇格オプション] ダイアログを表示します。
自己昇格オプション
| オプション | 説明 |
|---|---|
| 項目を許可する | ルール項目を許可された項目にし、関連付けられた許可項目をすべて上書きします。 |
| 信頼できる所有者によって所有されていない場合でも実行を許可する |
このオプションは、[項目を許可する] が選択されている場合に選択できます。 選択すると、リストされたルール項目がすべて、所有者に関係なく実行されます。 |
| 子プロセスに適用する | 既定では、ルール項目に適用されている自己昇格ポリシーは子プロセスに継承されません。 親プロセスの直接の子にポリシーを適用するには、このオプションを選択します。 |
| 共有ダイアログに適用する | ファイルまたはフォルダが昇格されている場合に、Windows のメニュー オプションである [ファイルを開く] および [ファイルの保存] へのアクセスを昇格させます。 既定では、共有ダイアログは昇格されません。 |
| 信頼できる所有者としてインストールする | ローカル管理者を、定義したアプリケーションで作成されたすべてのファイルの所有者にします。 このオプションは、普通のアプリケーションには適用されず、インストーラ パッケージにのみ適用されます。 |
| 自己昇格された項目の [管理者として実行] Windows オプションを非表示にする | Windows ショートカット メニューの [管理者として実行] オプションを非表示にします。 |
自己昇格のファイルを追加
- ルール セットの [権限管理] ノードを選択します。
- 右クリックして [自己昇格] > [ファイル] を選択します。
[自己昇格のファイルを追加] ダイアログが表示されます。 - [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
- [開く] ダイアログで、追加するファイルに移動し、[OK] をクリックします。
- 可能な場合は環境変数を代入する
- 正規表現を使用する
- 必要に応じて、将来に参照するためにフォルダの任意の説明を入力します。
- [メタデータ] タブを選択します。
- フィールドを自動的に埋めるには、[ファイルからメタデータを入力] を選択します。
- [追加] をクリックして、ファイルをルール セットに追加します。
ファイル項目が [権限管理] 作業領域の自己昇格ビューに追加されます。
必要な場合、次の項目を選択できます。
製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン フィールドを入力できます。
どのデータも、必要なチェックボックスを選択し、フィールドを編集することで微調整できます。
ベンダメタデータが有効な場合は、 [実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、ファイル照合中に証明書を検証します。 [検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。
詳細については、「検証オプション」 をご参照ください。
自己昇格のフォルダを追加
- ルール セットの [権限管理] ノードを選択します。
- 右クリックして [自己昇格] > [フォルダ] を選択します。
[自己昇格のフォルダを追加] ダイアログが表示されます。 - [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
- [開く] ダイアログで、追加するフォルダに移動し、[OK] をクリックします。
- 可能な場合は環境変数を代入する
- 正規表現を使用する
- サブフォルダを含める
- 必要に応じて、将来に参照するためにフォルダの任意の説明を入力します。
- [メタデータ] タブを選択します。
- フィールドを自動的に埋めるには、[ファイルからメタデータを入力] を選択します。
- [追加] をクリックして、フォルダをルール セットに追加します。
フォルダ項目が [権限管理] 作業領域の自己昇格ビューに追加されます。
必要な場合、次の項目を選択できます。
製品名、ベンダ、会社名、ファイル説明、ファイル バージョン、および製品バージョン フィールドを入力できます。
どのデータも、必要なチェックボックスを選択し、フィールドを編集することで微調整できます。
ベンダメタデータが有効な場合は、 [実行時に証明書を確認する] オプションも使用できます。このオプションを有効にすると、エージェントは、ファイル照合中に証明書を検証します。 [検証オプション] をクリックすると、ファイル照合中に使用されるその他の条件にアクセスできます。
詳細については、「検証オプション」 をご参照ください。
自己昇格のファイル ハッシュを追加
- ルール セットの [権限管理] ノードを選択します。
- 右クリックして [自己昇格] > [ファイル ハッシュ] を選択します。
[自己昇格のファイル ハッシュを追加] ダイアログが表示されます。 - [プロパティ] タブで、テキストボックスの省略記号 (...) をクリックします。
- [開く] ダイアログで、追加するファイル ハッシュに移動し、[OK] をクリックします。
- 必要に応じて、将来参照できるようにファイル ハッシュの任意の説明を入力します。
- ファイル ハッシュ値が表示されますので、[再スキャン] を選択してファイル ハッシュを更新します。
- [追加] をクリックして、ファイル ハッシュをルール セットに追加します。
ファイル ハッシュ項目が [権限管理] 作業領域の自己昇格ビューに追加されます。
自己昇格のルール コレクションを追加
- ルール セットの [権限管理] ノードを選択します。
- 右クリックして [自己昇格] > [ルール コレクション] を選択します。
[ルール コレクション選択] ダイアログが表示されます。 権限管理のすべてのルール コレクションがリストされます。 - ルールセットに追加するコレクションの [ルールに追加] チェックボックスを選択します。
- [OK] をクリックして、コレクションを [権限管理] 作業領域のアプリケーション ビューに追加します。
システム制御
[システム制御] を使用して、次の処理の実行能力を制御します。 制御を適用することで、特定の項目に対するアクセスを昇格または制限できます。
- アンインストールの制御項目: ルール条件に一致した場合にインストール済みアプリケーションのアンインストールを許可または制限するには、このオプションを使用します。 [アンインストールの制御項目] は、制御の対象となるアプリケーションを定義することによって構成します。 さらに検証を適用することで、指定した発行元や特定のアプリケーション バージョンを対象にすることができます。 ある発行元からのすべてのアプリケーションを許可または制限するには、発行者名と組み合わせて [アプリケーション] フィールドに * を入力します。
- サービスの制御項目: ルール条件と一致した場合に変更、停止、開始、再開できるサービスを選択するには、このオプションを使用します。
- イベント ログの制御項目: ルール条件に一致した場合にクリアできるイベント ログ、クリアできないイベント ログを選択するには、このオプションを使用します。 イベント ログの制御項目は、制御対象のログ (複数可) の名前を選択することによって構成します。
- プロセス終了の制御項目: アンチウィルス ソフトウェアなどのプロセスを、管理者を含む全ユーザによる強制終了から保護するには、このオプションを使用します。 それでもユーザは正しい手順で (たとえばアプリケーションの UI で [閉じる] をクリックして) プロセスを停止できますが、強制的にプロセスを終了すること (タスク マネージャの [詳細] タブでタスクを終了するなど) はできません。 ファイルを個別に指定することも、特定のフォルダ内の全プロセスを対象にすることもできます。
一度停止すると再開できない唯一のサービスがエージェント サービスです。
サービス制御項目は、表示名または内部名またはその両方を指定することによって構成します。 サービスの表示名は、オペレーティング システムのローカライズの違いによって異なる場合がありますが、内部名には変動はありません。 したがって、さまざまなロケールでこの構成を使用する場合は、内部名のみを使用することをお勧めします。
任意で、メタデータを追加して、ファイルおよびフォルダを突き合わせるための追加条件を組み込みます。