エージェント設定: アプリケーション コントロール

[ツール] > [セキュリティと準拠] > [エージェント設定] > [セキュリティ] > [エンドポイント セキュリティ] > [アプリケーション コントロール]

このダイアログ ボックスでは、エンドポイント セキュリティ (EPS) アプリケーション コントロール設定 (構成ファイル) を作成および編集します。EPS 設定を作成する場合は、まず一般的な要件とアクションを定義し、その後特定のファイル証明書を追加します。EPS 設定は必要な数だけ作成でき、いつでも編集できます。

EPS エージェントの再インストールやエージェント構成全体を再配布せずにデバイスの既定の EPS 設定を変更する場合は、[EPS 設定] ダイアログボックスの任意のオプションを変更して、新しい設定を設定変更タスクに割り当て、その後タスクをターゲット デバイスに適用します。

このダイアログ ボックスには次のページがあります。

[全般設定] ページについて

このページを使用して、アプリケーション コントロール設定を指定します。これが目的とするものなら、[既定値に設定] を選択します。

[アプリケーション保護] ページについて

このページでは、EPS の一般的保護設定およびアクションを構成できます。

  • アプリケーション動作保護を有効にする:EPS 保護をオンにすると、プログラム動作が既定の保護ルールで定義されているシステム セキュリティを脅かす場合を除き、すべてのプログラムの実行を許可します。カスタム ファイル証明書を設定することで、特別な権限を信頼できるファイル リスト経由でプログラム ファイルに割り当てることができます。EPS 保護はアプリケーションの動作 (アプリケーションが別の実行可能ファイルの修正、レジストリの修正などができるかどうか) を監視し、セキュリティ ルールを適用します。
    • マスタ ブート レコード (MBR) 暗号化を防止する: マスタ ブート レコード (MBR) へのアクセスをブロックすることで、MBR を暗号化するランサムウェアからクライアントを守ります。
    • 暗号ランサムウェアを自動検出してブラックリストに登録: EPS エージェントが暗号化プロセスを監視します。検出された場合は、EPS がプロセスを終了し、スタートアップから削除し、拒否リストに追加することを試みます。検出された場合は EPS がプロセスを終了し、スタートアップから削除して、ブラックリストに追加しようとします。EPS はできるかぎりすぐに暗号化プロセスを検出しますが、プロセスを終了する前に一部のファイルが暗号化される可能性が高くなります。ファイル保護ルールを使用して、ランサムウェアによってファイルが暗号化されないようにすることをお勧めします。

アプリケーション保護について: [ファイル保護ルール] ページ

このページでは、ファイル保護ルールを表示および管理します。ファイル保護ルールは、指定されたファイルに対して指定実行プログラムが特定のアクションを実行しないように制限する規則です。ファイル保護ルールを使えば、プログラムがファイルに対して実行するアクション (アクセス、変更、作成、実行) を許可または拒否できます。

既定では、これらのルールは有効になっています。

  • Word、PowerPoint、Excel ファイルをランサムウェアによる暗号化から保護する: 有効にすると、エンドポイント セキュリティは Word、PowerPoint、Excel プロセスに対し、Word、PowerPoint、Excel ファイルの変更のみを許可するようになります (ユーザは引き続き、それらのファイルのコピー/貼り付けを行えます).。エンドポイントで実行されたランサムウェアがあったとしても、これらのファイル タイプを暗号化することはできません。 万一ランサムウェアによる攻撃があっても、管理者は感染したデバイスをリモート制御して、手付かずのドキュメントをどこか安全な場所にコピーできます。エンド ユーザは、古いバックアップ コピーからファイルを回復する必要なく、自分の最新バージョンのファイルを入手できるため、迅速な回復が確保されます。
  • Word、PowerPoint、Excel からのスクリプト実行を防止する: エンドポイントを感染させる共通方式の1つは、納得の上で、エンドユーザに Word 文書内や Excel 文書内でマクロを実行させることです。ほとんどの場合、PowerShell またはその他の、マルウェアをデバイスにダウンロードするスクリプトが、このマクロによって実行されます。この機能を有効にすると、エンドポイント セキュリティは、PowerShell、Visual Basic、およびその他のスクリプトをマクロが実行するのを防止します。結果として、スクリプトを起動するマクロをエンド ユーザが実行した場合に、そのスクリプトは実行されず、マルウェアの実行がブロックされます。マクロそのものは、引き続き機能します。

これらの追加オプションは、このページで入手できます。

  • 保護ルール:Ivanti の事前定義 (既定) ファイル保護ルールおよびユーザが作成した保護ルールをすべて表示します。
    • ルール名:ファイル保護ルールの名前です。
    • 制限:ファイル保護ルールによって制限されているアクション、つまりプログラムがファイルに対して実行できないアクションです。
    • プログラム:保護ルールで保護されている実行可能ファイルを表示します。
  • 上へ移動/下へ移動:ファイル保護の優先度を決定します。リスト内で上位のファイル保護ルールは下位のルールよりも優先順位が高いことを示します。たとえばプログラムが特定のファイルやファイル タイプにアクセスしたりこれらを変更しないように制限するルールを作成した後、作成した保護ルールの例外を含む別のルールを作成し、これを 1 つか複数のプログラムに適用できます。この例外ルールはリスト内で上位にある限り適用されます。
  • リセット:Ivanti の事前定義 (既定) ファイル保護ルールを復元します。
  • 追加:[ファイル保護ルールの構成] ダイアログ ボックスを開きます。このダイアログ ボックスではプログラムの追加と削除、制限内容の指定ができます。
  • 編集:[ファイル保護ルールの構成] ダイアログ ボックスを開きます。このダイアログ ボックスでは既存のファイル保護ルールを編集できます。
  • 削除:ファイル保護ルールをコア データベースから削除します。

NOTE: ファイル保護ルールは FILEWALL.XML ファイルに保存されており、このファイルは次のフォルダにあります。ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\EPS_Behavior.ZIP

アプリケーション保護について: [詳細] と[ホワイトリスト]: [詳細] ページ

このページでは、EPS 保護機能の操作モードを構成します。

  • アプリケーション動作モード: EPS 保護が有効になっている場合の保護動作を指定します。次の処理方法のいずれかを選択します。
    • ブロック:セキュリティ違反はブロックされ、コア サーバのアクション履歴ファイルに記録されます。
    • 学習:すべてのアプリケーション セキュリティ違反が許可されますが、アプリケーションの動作は監視または学習され、この情報は信頼できるファイル リストのコア データベースに送信されます。このモードで特定または複数のデバイスで作動するアプリケーションの動作を検索します。 検索した情報を使用することで、EPS ポリシーをカスタマイズしてネットワーク全体に EPS 保護機能を配布かつ強制することができます。
    • ログのみ:セキュリティ違反は許可され、コア サーバのアクション履歴ファイルに記録されます。
    • サイレント:セキュリティ違反はブロックされ、コア サーバのアクション履歴ファイルに記録されません。

[ホワイトリスト] ページについて

  • ホワイトリスト保護を有効にする: 選択すると、信頼できるファイル リストで指定されているアプリケーションとファイル認証の許可実行オプションが有効になっているアプリケーションのみ実行できます。
  • Windows エクスプローラでの実行ファイルの修正と削除の防止Windows で実行ファイルの修正または削除を禁止する場合はこのオプションを有効にします。
  • 「良好なレピュテーション」のファイルを関連付けられた信頼できるファイル リストに登録されている場合と同じように処理: 選択すると、Ivanti がホスティングしている問題がないことが確認済みのファイルのデータベースに登録されたファイルを自動的に信頼します。詳細については、「ファイル レピュテーションを使用したアプリケーションの制限」をご参照ください。
  • 「問題があるレピュテーション」のファイルをブラックリストに登録されている場合と同じように処理: Ivanti がホスティングしている問題があることが確認済みのファイルのデータベースに登録されたファイルへのアクセスを拒否します。

[ファイル保護ルールの構成] ダイアログ ボックス

このページでは、ファイル保護ルールを構成します。

  • ルール名:ファイル保護ルールの固有名です。
  • 監視されたプログラム
    • すべてのプログラム:下に表示されたファイルに対して選択したアクションの実行を制限するすべての実行可能プログラムを指定します。
    • プログラムの名前:制限の対象となるファイル実行可能プログラムをリストから指定します。
    • プロセスが実行チェーンにある場合に適用する: プログラムが他のプログラムを起動できます。 監視対象のプログラムが実行チェーン内にある場合は、その監視対象プログラムが、保護されたファイルにアクセスしているプログラムでなくても、ルールを提供します。
    • 信頼できるファイルによるルールのバイパスを許可する: 認証済みファイルのリストに含まれる実行プログラムならどれもが、このファイル保護ルールに関連付けられた制限をバイパスできるようにします。
    • 追加:ファイル保護ルールの対象となるプログラムを選択できます。ファイル名およびワイルドカードを使って追加できます。
    • 編集:プログラム名を変更できます。
    • 削除:リストからプログラムを削除します。
  • 保護されたファイル
    • すべてのファイル:指定したプログラムからすべての保護ファイルを関連付けられた制限に基づいて保護します。
    • ファイル名:リストに含まれるファイルから、保護の対象のファイルを指定できます。
    • 追加:ファイル保護ルールで保護するファイルを選択できます。ファイル名かワイルドカードを使用できます。
    • 編集:ファイル名を変更できます。
    • 削除:リストからファイルを削除します。
    • サブディレクトリも適用:指定ディレクトリに属するすべてのサブディレクトリにファイル保護ルールを適用します。
    • インターネットからダウンロードしたファイルにのみ適用する: インターネットからダウンロードしたファイルのみが、監視対象のプログラムから保護されます。
  • 保護されたファイルで制限されている処理
    • 読み取り専用アクセス:指定したプログラムによる保護ファイルへのアクセスを防ぎます。
    • 変更:指定したプログラムによる保護ファイルの変更を防ぎます。
    • 作成:指定したプログラムによる保護ファイルの作成を防ぎます。
    • 実行:指定したプログラムによる保護ファイルの実行を防ぎます。