セキュリティ

これらの設定により、Workspace Environment Management 内のユーザーアクティビティを制御できます。

アプリケーションのセキュリティ

重要:

ユーザーが実行できるアプリケーションを制御するには、Windows AppLocker インターフェイスまたは Workspace Environment Management を使用します。 これらのアプローチはいつでも切り替えることができますが、両方のアプローチを同時に使用しないことをお勧めします。

これらの設定では、ルールを定義することで、ユーザーが実行を許可するアプリケーションを制御できます。 この機能は Windows AppLocker と似ています。

Workspace Environment Management を使用して Windows AppLocker ルールを管理すると、エージェントは [Application Security] タブのルールをエージェントホスト上の Windows AppLocker ルールに処理 (変換) します。 エージェント処理ルールを停止しても、そのルールは構成セットに保持され、AppLocker はエージェントによって処理された最後の命令セットを使用して実行を続けます。

アプリケーションのセキュリティ

このタブには、現在のWorkspace Environment Management構成セットのアプリケーションセキュリティルールが一覧表示されます。 あなたは使用することができます 見付ける をクリックして、テキスト文字列に従ってリストをフィルタリングします。

最上位の項目「アプリケーションセキュリティ」を選択すると、 安全 タブで、ルール処理を有効または無効にするための次のオプションが使用可能になります。

• プロセス・アプリケーション・セキュリティ・ルール. 選択すると、 アプリケーションセキュリティ タブ コントロールが有効になり、エージェントは現在の構成セット内のルールを処理し、エージェント ホスト上の AppLocker ルールに変換します。 選択されていない場合、 アプリケーションセキュリティ タブ コントロールは無効になり、エージェントはルールを AppLocker ルールに処理しません。 (この場合、AppLocker ルールは更新されません)。

  注意:

  Workspace Environment Management 管理コンソールが Windows 7 SP1 または Windows Server 2008 R2 SP1 (またはそれ以前のバージョン) にインストールされている場合、このオプションは使用できません。

• プロセス DLL ルール. 選択すると、エージェントは現在の構成セットの DLL ルールをエージェント ホスト上の AppLocker DLL ルールに処理します。 このオプションは、 プロセス・アプリケーション・セキュリティ・ルール.

  重要:

  DLL ルールを使用する場合は、許可されたすべてのアプリで使用される各 DLL に対して “許可” アクセス許可を持つ DLL ルールを作成する必要があります。

  注意

  DLL ルールを使用すると、パフォーマンスが低下する可能性があります。 これは、AppLocker がアプリの実行を許可する前に、アプリが読み込む各 DLL をチェックするために発生します。

• ザ 上書き そして マージ 設定では、エージェントがアプリケーションセキュリティルールを処理する方法を決定できます。

  • 上書き。 既存のルールを上書きできます。 選択すると、最後に処理されたルールは、以前に処理されたルールを上書きします。 このモードは、シングルセッションマシンにのみ適用することをお勧めします。
  • マージ. ルールを既存のルールとマージできます。 競合が発生すると、最後に処理されたルールは、以前に処理されたルールを上書きします。 マージ中にルール適用設定を変更する必要がある場合は、マージ モードによって古い値が異なる場合に保持されるため、上書きモードを使用します。

ルール コレクション

ルールは AppLocker ルール コレクションに属します。 各コレクション名は、含まれるルールの数を示します (例: (12))。 コレクション名をクリックすると、ルール リストが次のいずれかのコレクションにフィルターされます。

• 実行可能ルール. アプリケーションに関連付けられている .exe および .com 拡張子を持つファイルを含むルール。
• Windows のルール. クライアント コンピューターとサーバー上のファイルのインストールを制御するインストーラー ファイル形式 (.msi、.msp、.mst) を含むルール。
• スクリプトルール. 次の形式のファイルを含むルール:.ps1、.bat、.cmd、.vbs、.js。
• パッケージ化されたルール. パッケージ アプリ (ユニバーサル Windows アプリとも呼ばれます) を含むルール。 パッケージ アプリでは、アプリ パッケージ内のすべてのファイルが同じ ID を共有します。 したがって、1 つのルールでアプリ全体を制御できます。 Workspace Environment Management は、パッケージアプリの発行者ルールのみをサポートします。
• DLL ルール. 次の形式のファイルを含むルール:.dll、.ocx。

ルールリストをコレクションにフィルタリングすると、 ルールの施行 オプションを使用して、AppLocker がエージェント ホスト上のそのコレクション内のすべてのルールを適用する方法を制御します。 次のルール適用値を使用できます。

オフ (デフォルト)。 ルールが作成され、適用されないことを意味する「オフ」に設定されます。

オン. ルールが作成され、エージェントホストでアクティブになる「強制」に設定されます。

監査. ルールが作成され、”audit” に設定されます。これは、ルールが非アクティブな状態でエージェント ホスト上にあることを意味します。 ユーザーが AppLocker ルールに違反するアプリを実行すると、アプリの実行が許可され、アプリに関する情報が AppLocker イベント ログに追加されます。

AppLocker ルールをインポートするには

AppLocker からエクスポートされたルールを Workspace Environment Management にインポートできます。 インポートされた Windows AppLocker 設定は、 安全 タブ。 無効なアプリケーション・セキュリティ・ルールは自動的に削除され、レポート・ダイアログにリストされます。

1. リボンで、 AppLocker ルールのインポート.

2. AppLocker からエクスポートされた AppLocker ルールを含む XML ファイルを参照します。

3. クリック 輸入.

ルールが [アプリケーションセキュリティルール] リストに追加されます。

ルールを追加するには

1. サイドバーでルールコレクション名を選択します。 たとえば、実行可能ルールを追加するには、「実行可能ルール」コレクションを選択します。

2. クリック ルールを追加.

3. の 陳列 セクションで、次の詳細を入力します。

   • 名前。 ルール一覧に表示されるルールの表示名。
   • [説明]。 リソースに関する追加情報 (オプション)。

4. の 種類 セクションで、オプションをクリックします。

   • パス。 ルールは、ファイルパスまたはフォルダパスと一致します。
   • 発行元。 ルールは、選択したパブリッシャーと一致します。
   • ハッシュ。 ルールは特定のハッシュ コードと一致します。

5. の 権限 セクションで、このルールが 許す 又は 打ち消す アプリケーションの実行から。

6. このルールをユーザーまたはユーザーグループに割り当てるには、 割り当て ペインで、このルールを割り当てるユーザーまたはグループを選択します。 「割り当て済み」列には、割り当てられたユーザーまたはグループの「チェック」アイコンが表示されます。

   ヒント：

   • 通常の Windows 選択修飾キーを使用して複数の選択を行うか、 すべて選択 をクリックして、すべての行を選択します。
   • ユーザーは、Workspace Environment Management ユーザーリストにすでに含まれている必要があります。
   • ルールの作成後にルールを割り当てることができます。

7. 次へをクリックします。

8. 選択したルールタイプに応じて、ルールが一致する条件を指定します。

   • パス。 ルールを一致させるファイルパスまたはフォルダパスを指定します。 フォルダを選択すると、そのフォルダ内およびそのフォルダの下にあるすべてのファイルに一致するルールが適用されます。
   • 発行元。 ルールの参照として使用する署名付き参照ファイルを指定し、[発行元情報] スライダを使用してプロパティの一致レベルを調整します。
   • ハッシュ。 ハッシュを作成するファイルまたはフォルダを指定します。 ルールはファイルのハッシュ コードと一致します。

9. 次へをクリックします。

10. 必要な例外を追加します (省略可能)。 [例外の追加] で、例外の種類を選択し、 足す. (できます 編集 そして 取り去る 必要に応じて例外。

11. ルールを保存するには、 創造する.

ユーザーにルールを割り当てるには

リストから 1 つ以上のルールを選択し、 編集 ツールバーまたはコンテキストメニューにあります。 エディタで、ルールを割り当てるユーザーとユーザーグループを含む行を選択し、 わかりました. また、選択したルールの割り当てを全員から解除することもできます すべて選択 をクリックして、すべての選択をクリアします。

手記: 複数のルールを選択して 編集の場合、それらのルールのルール割り当ての変更は、選択したすべてのユーザーとユーザーグループに適用されます。 つまり、既存のルール割り当ては、それらのルール間でマージされます。

デフォルトのルールを追加するには

クリック デフォルトルールを追加. AppLocker の既定のルールのセットがリストに追加されます。

ルールを編集するには

リストから 1 つ以上のルールを選択し、 編集 ツールバーまたはコンテキストメニューにあります。 エディターが表示され、選択した内容に適用される設定を調整できます。

ルールを削除するには

リストから 1 つ以上のルールを選択し、 削除 ツールバーまたはコンテキストメニューにあります。

アプリケーションのセキュリティルールをバックアップするには

現在の構成セット内のすべてのアプリケーション・セキュリティ・ルールをバックアップできます。 ルールはすべて 1 つの XML ファイルとしてエクスポートされます。 あなたは使用することができます 戻す をクリックして、ルールを任意の構成セットに復元します。 リボンで、 バックアップ 次に、 セキュリティ設定.

アプリケーションのセキュリティ規則を復元するには

Workspace Environment Management バックアップコマンドによって作成された XML ファイルから、アプリケーションセキュリティルールを復元できます。 復元プロセスでは、現在の構成セットのルールがバックアップ内のルールに置き換えられます。 に切り替えるか、更新すると、 安全 タブでは、無効なアプリケーションセキュリティルールが検出されます。 無効なルールは自動的に削除され、エクスポートできるレポート ダイアログに一覧表示されます。

復元プロセス中に、現在の構成セット内のユーザーおよびユーザー・グループに対するルール割り当てを復元するかどうかを選択できます。 再割り当ては、バックアップされたユーザー/グループが現在の構成セット/アクティブディレクトリに存在する場合にのみ成功します。 一致しないルールは復元されますが、未割り当てのままです。 復元後、CSV形式でエクスポートできるレポートダイアログにリストされます。

1. リボンで、 戻す をクリックして、復元ウィザードを開始します。

2. [セキュリティ設定] を選択し、 次に 二度。

3. で フォルダからの復元で、バックアップ ファイルを含むフォルダを参照します。

4. 選ぶ AppLocker ルールの設定をクリックし、 次に.

5. ルールの割り当てを復元するかどうかを確認します。

はい. ルールを復元し、現在の設定セット内の同じユーザーおよびユーザーグループに再割り当てします。

いいえ. ルールを復元し、未割り当てのままにします。

6. 復元を開始するには、 設定の復元.

プロセス管理

これらの設定により、特定のプロセスを許可リストまたはブロックリストに追加できます。

プロセス管理

プロセス管理の有効化. 許可リストまたはブロック リストのプロセスが有効かどうかを切り替えます。 無効にすると、 ブラックリスト処理 そして ホワイトリストの処理 タブが考慮されます。

注意:

このオプションは、セッション・エージェントがユーザーのセッションで実行されている場合にのみ機能します。 これを行うには、 主な構成 エージェント設定を設定して、 ローンチエージェント オプション (ログオン時/再接続で/管理者向け) を使用して、ユーザー/セッションの種類に応じて起動し、 エージェントタイプ を「UI」に変更します。 これらのオプションについては、 詳細設定.

プロセス ブロック リスト

これらの設定により、特定のプロセスをブロックリストに追加できます。

プロセスブラックリストの有効化. ブロックリストにあるプロセスの処理を有効にします。 プロセスを追加するには、実行可能ファイル名 (cmd.exe など) を使用する必要があります。

ローカル管理者を除外する. ローカル管理者アカウントは除外されます。

指定したグループを除外する. 特定のユーザーグループを除外できます。

プロセス許可リスト

これらの設定により、特定のプロセスを許可リストに追加できます。 プロセス ブロック リストとプロセス許可リストは相互に排他的です。

プロセスホワイトリストを有効にする. 許可リストにあるプロセスの処理を有効にします。 プロセスを追加するには、実行可能ファイル名 (cmd.exe など) を使用する必要があります。 手記 有効にすると、 プロセスホワイトリストを有効にする 許可リストにないすべてのプロセスをブロックリストに自動的に追加します。

ローカル管理者を除外する. ローカル管理者アカウントは除外されます (すべてのプロセスを実行できる)。

指定したグループを除外する. 特定のユーザーグループを除外できます(すべてのプロセスを実行できます)。

権限昇格

注意:

この機能は、Citrix仮想アプリには適用されません。

特権の昇格機能を使用すると、管理者以外のユーザーの特権を、一部の実行可能ファイルに必要な管理者レベルに昇格できます。 その結果、ユーザーは Administrators グループのメンバーであるかのようにこれらの実行可能ファイルを起動できます。

権限昇格

を選択すると、 特権の昇格 ペイン 安全をクリックすると、次のオプションが表示されます。

• プロセス特権の昇格設定. 権限昇格機能を有効にするかどうかを制御します。 選択すると、エージェントは権限昇格設定やその他のオプションを処理できます。 特権の昇格 タブが使用可能になります。

• Windows Server OSには適用しないでください. 特権の昇格設定を Windows Server オペレーティング システムに適用するかどうかを制御します。 選択すると、ユーザーに割り当てられたルールは Windows Server マシンでは機能しません。 デフォルトでは、このオプションが選択されています。

• RunAsInvoker の強制. すべての実行可能ファイルを現在の Windows アカウントで強制的に実行するかどうかを制御します。 選択すると、管理者として実行可能ファイルを実行するようユーザーに求められません。

このタブには、設定したルールの完全なリストも表示されます。 クリック 実行可能ルール 又は Windows インストーラーのルール をクリックして、ルールリストを特定のルールタイプにフィルタリングします。 あなたは使用することができます 見付ける をクリックして、リストをフィルタリングします。 ザ 割り当て られた 列には、割り当てられたユーザーまたはユーザーグループのチェックマークアイコンが表示されます。

サポートされているルール

特権の昇格は、実行可能ルールと Windows インストーラー ルールの 2 種類のルールを使用して適用できます。

• 実行可能ルール. アプリケーションに関連付けられた .exe および .com 拡張子を持つファイルを含むルール。

• Windows インストーラーのルール. アプリケーションに関連付けられたインストーラー ファイル with.msi と .msp 拡張子を含むルール。 Windows インストーラー ルールを追加する場合は、次のシナリオに注意してください。

  • 権限昇格は、Microsoftの msiexec.exe にのみ適用されます。 .msiおよび.msp Windowsインストーラーファイルの展開に使用するツールが msiexec.exe であることを確認します。
  • プロセスが指定された Windows インストーラー規則と一致し、その親プロセスが指定された実行可能規則と一致するとします。 指定した実行可能ルールで［ 子プロセスに適用 ］設定を有効にしない限り、プロセスは昇格された権限を取得できません。

をクリックした後 実行可能ルール または Windows インストーラーのルール タブで、 アクション セクションには、使用可能な次のアクションが表示されます。

• 編集。 既存の実行可能ルールを編集できます。

• [削除]。 既存の実行可能ルールを削除できます。

• ルールを追加. 実行可能なルールを追加できます。

ルールを追加するには

1. に移動します 実行可能ルール 又は Windows インストーラーのルール をクリックし、 ルールを追加. ザ ルールを追加 ウィンドウが表示されます。

2. の 陳列 セクションで、次のように入力します。

   • 名前。 ルールの表示名を入力します。 名前がルール リストに表示されます。
   • [説明]。 ルールに関する追加情報を入力します。

3. の 種類 セクションで、オプションを選択します。

   • パス。 ルールはファイルパスと一致します。
   • 発行元。 ルールは、選択したパブリッシャーと一致します。
   • ハッシュ。 ルールは特定のハッシュ コードと一致します。

4. の 設定 セクションで、必要に応じて以下を設定します。

   • 子プロセスに適用. 選択した場合、実行可能ファイルが開始するすべての子プロセスにルールが適用されます。 権限の昇格をより詳細なレベルで管理するには、次のオプションを使用します。

     • 同じフォルダ内の実行可能ファイルにのみ適用します. 選択した場合、同じフォルダを共有する実行可能ファイルにのみルールが適用されます。
     • 署名付き実行可能ファイルにのみ適用. 選択した場合、署名された実行可能ファイルにのみルールが適用されます。
     • 同じ発行元の実行可能ファイルにのみ適用されます. 選択した場合、同じ発行元情報を共有する実行可能ファイルにのみルールが適用されます。 この設定は、ユニバーサル Windows プラットフォーム (UWP) アプリでは機能しません。

     注意:

     Windows インストールルールを追加すると、 子プロセスに適用 設定はデフォルトで有効になっており、編集することはできません。

   • 開始時間. エージェントがルールの適用を開始する時間を指定できます。 時間形式は HH:MM です。 時刻は、エージェントのタイムゾーンに基づきます。

   • 終了時刻. エージェントがルールの適用を停止する時間を指定できます。 時間形式は HH:MM です。 指定した時間以降、エージェントはルールを適用しなくなります。 時刻は、エージェントのタイムゾーンに基づきます。

   • パラメータを追加. 指定したパラメータに一致する実行可能ファイルに権限の昇格を制限できます。 このパラメータは一致条件として機能します。 指定したパラメータが正しいことを確認してください。 この機能の使用方法の例については、次を参照してください。 パラメーターを使用して実行される実行可能ファイル. このフィールドが空の場合、または空白のみが含まれている場合、エージェントは、パラメーターを使用して実行されるかどうかに関係なく、関連する実行可能ファイルに特権の昇格を適用します。

   • 正規表現を有効にする. 正規表現を使用して条件をさらに拡張するかどうかを制御できます。

5. の 割り当て セクションで、ルールを割り当てるユーザーまたはユーザー・グループを選択します。 ルールをすべてのユーザーおよびユーザーグループに割り当てる場合は、 すべて選択.

   ヒント：

   • 通常の Windows 選択修飾キーを使用して、複数の選択を行うことができます。
   • ユーザーまたはユーザーグループは、 行政 > ユーザー タブ。
   • ルールは、後で (ルールの作成後) 割り当てることを選択できます。

6. 次へをクリックします。

7. 次のいずれかの操作を行います。 前のページで選択したルールの種類に応じて、必要なアクションが異なります。

   重要:

   WEM には、 AppInfoビューア 実行可能ファイルから次の情報などを取得するには、publisher、path、hash。 このツールは、管理コンソールで構成するアプリケーションの関連情報を提供する場合に便利です。 たとえば、アプリケーションセキュリティ機能を使用するときに、このツールを使用してアプリケーションから関連情報を抽出できます。 このツールは、エージェントのインストールフォルダにあります。

   • パス。 ルールを適用するファイルまたはフォルダのパスを入力します。 WEM エージェントは、 実行可能ファイルのパス。
   • 発行者。 次のフィールドに入力します。 発行者, 商品名, ファイル名そして ファイルのバージョン. フィールドを空のままにすることはできませんが、代わりにアスタリスク (*) を入力できます。 WEM エージェントは、パブリッシャー情報に従ってルールを適用します。 適用すると、ユーザーは同じ発行元情報を共有する実行可能ファイルを実行できます。
   • ハッシュ。 クリック 足す をクリックしてハッシュを追加します。 の ハッシュを追加 ウィンドウで、ファイル名とハッシュ値を入力します。 あなたは使用することができます AppInfoビューア 選択したファイルまたはフォルダからハッシュを作成するツール。 WEM エージェントは、指定されたとおりの同一の実行可能ファイルにルールを適用します。 その結果、ユーザーは指定した実行可能ファイルと同一の実行可能ファイルを実行できます。

8. クリック 創造する をクリックしてルールを保存し、ウィンドウを終了します。

パラメーターを使用して実行される実行可能ファイル

権限の昇格は、指定したパラメータに一致する実行可能ファイルに制限できます。 このパラメータは一致条件として機能します。 実行可能ファイルで使用可能なパラメーターを表示するには、Process Explorer や Process Monitor などのツールを使用します。 これらのツールに表示されるパラメータを適用します。

実行可能ファイルのパスに従って、実行可能ファイル (cmd.exe など) にルールを適用するとします。 権限昇格を次の場所にのみ適用します test.bat. Process Explorer を使用してパラメーターを取得できます。

の パラメータを追加 フィールドには、次の情報を入力できます。

• /c ""C:\test.bat""

次に、次のように入力します。 パス 畑：

• C:\Windows\System32\cmd.exe

この場合、指定したユーザーの権限を管理者レベルに昇格させるのは、次の場合に限られます test.bat.

ユーザーにルールを割り当てるには

リストから 1 つ以上のルールを選択し、 編集 の アクション 節。 の ルールの編集 ウィンドウで、ルールを割り当てるユーザーまたはユーザーグループを選択し、 わかりました.

ルールを削除するには

リストから 1 つ以上のルールを選択し、 削除 の アクション 節。

権限昇格ルールをバックアップするには

現在の構成セット内のすべての特権昇格ルールをバックアップできます。 すべてのルールは 1 つの XML ファイルとしてエクスポートされます。 あなたは使用することができます 戻す をクリックして、ルールを任意の構成セットに復元します。

バックアップを完了するには、コマンドを バックアップ ウィザード (リボンで使用できます)。 の使用の詳細については、 バックアップ ウィザード、を参照してください。 リボン.

権限昇格ルールを復元するには

Workspace Environment Management バックアップウィザードを使用してエクスポートされた XML ファイルから権限昇格ルールを復元できます。 復元プロセスでは、現在の構成セットのルールがバックアップ内のルールに置き換えられます。 に切り替えるか、更新すると、 安全 > 特権の昇格 ペインで、無効な権限昇格ルールが検出されます。 無効なルールは自動的に削除され、エクスポート可能なレポートにリストされます。 の使用の詳細については、 戻す ウィザード、を参照してください。 リボン.

自己昇格

自己昇格を使用すると、事前に正確な実行可能ファイルを提供しなくても、特定のユーザーの権限昇格を自動化できます。 これらのユーザーは、該当するファイルを右クリックして、コンテキストメニューで [ 管理者権限で実行する ] を選択するだけで、任意のファイルの自己昇格を要求できます。 その後、昇格の理由を尋ねるプロンプトが表示されます。 WEM エージェントは理由を検証しません。 昇格の理由は、監査目的でデータベースに保存されます。 条件が満たされると、昇格が適用され、ファイルは管理者権限で正常に実行されます。

また、この機能により、ニーズに最適なソリューションを柔軟に選択できます。 ユーザーに自己昇格を許可するファイルの許可リストを作成したり、ユーザーの自己昇格を禁止するファイルのリストをブロックしたりできます。

自己昇格は、次の形式のファイルに適用されます。 .exe, .msi, 。蝙蝠, .cmd, .ps1のそして .vbs.

注意:

デフォルトでは、一部のファイルを実行するために特定のアプリケーションが使用されます。 たとえば、cmd.exe は .cmd ファイルの実行に使用され、powershell.exe は .ps1 ファイルの実行に使用されます。 これらのシナリオでは、デフォルトの動作を変更することはできません。

選択した場合 安全 > 自己昇格をクリックすると、次のオプションが表示されます。

• 自己昇格を有効にする. 自己標高機能を有効にするかどうかを制御します。 次のオプションを選択します。

  • エージェントが自己昇格設定を処理できるようにします。
  • で他のオプションを作成します 自己昇格 タブが利用可能です。
  • を作成します 管理者権限で実行 ユーザーがファイルを右クリックすると、コンテキストメニューに表示されるオプションが表示されます。 その結果、ユーザーは、 自己昇格 タブ。

• 権限. ユーザーに自己昇格を許可するファイルの許可リストを作成したり、ユーザーの自己昇格を禁止するファイルのリストをブロックしたりできます。

  • 許す. ユーザーに自己昇格を許可するファイルの許可リストを作成します。
  • 打ち消す. ユーザーが自己昇格できないようにするファイルのブロック リストを作成します。

• 次の操作を実行できます。

  • 編集。 既存の条件を編集できます。
  • [削除]。 既存の条件を削除できます。
  • 追加。 条件を追加できます。 パス、選択したパブリッシャー、または特定のハッシュコードに基づいて条件を作成できます。

• 設定. エージェントが自己昇格を適用する方法を制御する追加の設定を構成できます。

  • 子プロセスに適用. 選択すると、ファイルが開始するすべての子プロセスに自己昇格条件が適用されます。
  • 開始時間. エージェントが自己昇格の条件の適用を開始する時間を指定できます。 時間形式は HH:MM です。 時刻は、エージェントのタイムゾーンに基づきます。
  • 終了時刻. エージェントが自己昇格の条件の適用を停止する時間を指定できます。 時間形式は HH:MM です。 指定した時間以降、エージェントは条件を適用しなくなります。 時刻は、エージェントのタイムゾーンに基づきます。

• 割り当て. 自己昇格条件を該当するユーザーまたはユーザーグループに割り当てることができます。 条件をすべてのユーザーとユーザーグループに割り当てるには、 すべて選択 を選択するか、 皆さん. ザ すべて選択 チェックボックスは、選択をクリアしてユーザーとユーザーグループを再選択するシナリオで役立ちます。

特権昇格アクティビティの監査

WEM は、特権の昇格に関連する監査アクティビティをサポートします。 詳細については、以下を参照してください。 ユーザー・アクティビティーの監査.

プロセス階層制御

プロセス階層制御機能は、親子シナリオで特定の子プロセスを親プロセスから開始できるかどうかを制御します。 ルールを作成するには、親プロセスを定義し、その子プロセスの許可リストまたは禁止リストを指定します。 機能を使用する前に、このセクション全体を確認してください。

注意:

• この機能は、Citrix仮想アプリにのみ適用されます。

ルールの仕組みを理解するには、次の点に注意してください。

• プロセスには 1 つのルールのみが適用されます。 同じプロセスに対して複数のルールを定義すると、優先度が最も高いルールのみが適用されます。

• 定義したルールは、元の親子階層だけでなく、その階層の各レベルにも適用されます。 親プロセスに適用可能なルールは、ルールの優先度に関係なく、その子プロセスに適用可能なルールよりも優先されます。 たとえば、次の 2 つのルールを定義するとします。

  • ルール1:WordはCMDを開くことができません。
  • ルール2:メモ帳はCMDを開くことができます。

  この 2 つのルールでは、ルールの優先度に関係なく、最初に Word を開き、次に Word からメモ帳を開いて、メモ帳から CMD を開くことはできません。

この機能は、特定のプロセスベースの親子関係に依存して機能します。 シナリオ内の親子関係を視覚化するには、Process Explorer ツールのプロセス ツリー機能を使用します。 Process Explorer の詳細については、以下を参照してください。 https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.

潜在的な問題を回避するために、以下を指す実行可能ファイルのパスを追加することをお勧めします。 VUEMAppCmd.exe Citrix Studioで。 VUEMAppCmd.exe 公開アプリケーションが起動する前に、WEM エージェントが設定の処理を完了するようにします。 Citrix Studioで、次の手順を実行します:

1. で アプリケーションをクリックし、アプリケーションを選択し、 プロパティ をクリックし、次に 場所 ページ。

2. エンドユーザーオペレーティングシステム上のローカルアプリケーションのパスを入力します。

   • の下で 実行可能ファイルへのパス フィールドに、次のように入力します。 <%ProgramFiles%>\Citrix\Workspace Environment Management Agent\VUEMAppCmd.exeです。

3. コマンドライン引数を入力して、開くアプリケーションを指定します。

   • の下で コマンドライン引数 フィールドに、起動するアプリケーションへのフルパスを入力します VUEMAppCmd.exe. パスに空白が含まれている場合は、アプリケーションのコマンドラインを二重引用符で囲んでください。
   • たとえば、iexplore.exeを起動するとします VUEMAppCmd.exe. これを行うには、次のように入力します。 %ProgramFiles(x86)%\"Internet Explorer"\iexplore.exe.

注意事項

この機能を動作させるには、 AppInfoビューア 各エージェント マシンのツールを使用して、機能を有効にします。 (このツールはエージェントのインストールフォルダにあります。ツールを使用して機能を有効または無効にするたびに、マシンの再起動が必要になります。 この機能を有効にした場合は、エージェントをアップグレードまたはアンインストールした後で、エージェント・マシンを再起動する必要があります。

プロセス階層制御機能が有効になっていることを確認するには、 レジストリエディタ エージェントマシン上。 この機能は、次のレジストリ エントリが存在する場合に有効になります。

• 32ビットOS
  • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
• 64ビットOS
  • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_Dlls\WEM Hook

前提条件

この機能を使用するには、次の前提条件が満たされていることを確認してください。

• Citrix Virtual Appsの展開。
• エージェントは Windows 10 または Windows Server で実行されています。
• エージェント ホストがインプレース アップグレードまたは新規インストール後に再起動されました。

プロセス階層制御

選択した場合 プロセス階層制御 で 安全をクリックすると、次のオプションが表示されます。

• プロセス階層制御の有効化. プロセス階層制御機能を有効にするかどうかを制御します。 選択すると、 プロセス階層制御 タブが使用可能になり、そこで構成された設定が有効になります。 この機能を使用できます 唯 Citrix Virtual Apps展開で。

• コンテキストメニューからこのアプリケーションで開くことを非表示に. 表示するか非表示にするかを制御します。 プログラムから開く Windowsの右クリックコンテキストメニューからのオプション。 有効にすると、メニューオプションはインターフェイスから非表示になります。 無効にすると、このオプションは表示され、ユーザーはそれを使用してプロセスを開始できます。 プロセス階層制御機能は、 プログラムから開く オプション。 この設定を有効にして、アプリケーションが現在のアプリケーション階層に関連しないシステム サービスを介してプロセスを開始できないようにすることをお勧めします。

ザ プロセス階層制御 タブには、設定したルールの完全なリストも表示されます。 あなたは使用することができます 見付ける をクリックして、リストをフィルタリングします。 ザ 割り当て られた 列には、割り当てられたユーザーまたはユーザーグループのチェックマークアイコンが表示されます。

ザ アクション セクションには、次のアクションが表示されます。

• 編集。 ルールを編集できます。
• [削除]。 ルールを削除できます。
• ルールを追加. ルールを追加できます。

ルールを追加するには

1. に移動します プロセス階層制御 をクリックし、 ルールを追加. ザ ルールを追加 ウィンドウが表示されます。

2. の 陳列 セクションで、次のように入力します。

   • 名前。 ルールの表示名を入力します。 名前がルール リストに表示されます。
   • [説明]。 ルールに関する追加情報を入力します。

3. の 種類 セクションで、オプションを選択します。

   • パス。 ルールはファイルパスと一致します。
   • 発行元。 ルールは、選択したパブリッシャーと一致します。
   • ハッシュ。 ルールは特定のハッシュ コードと一致します。

4. の モード セクションで、次のいずれかのオプションを選択します。

   • ブロックリストに子プロセスを追加する. 選択すると、親プロセスのルールを設定した後で、該当する子プロセスのブロックリストを定義できます。 ブロックリストは、指定したプロセスの実行のみを禁止し、他のプロセスの実行を許可します。
   • 許可リストに子プロセスを追加する. 選択すると、親プロセスのルールを設定した後で、該当する子プロセスの許可リストを定義できます。 許可リストは、指定したプロセスのみの実行を許可し、他のプロセスの実行は禁止されます。

   注意:

   プロセスには 1 つのルールのみが適用されます。 同じプロセスに複数のルールを定義すると、ルールは優先度順に適用されます。

5. の 優先権 セクションで、ルールの優先度を設定します。 優先度を設定するときは、次の点を考慮してください: 優先度によって、設定したルールが処理される順序が決まります。 値が大きいほど、優先順位が高くなります。 整数を入力します。 競合がある場合は、優先度の高いルールが優先されます。

6. の 割り当て セクションで、ルールを割り当てるユーザーまたはユーザー・グループを選択します。 ルールをすべてのユーザーおよびユーザーグループに割り当てる場合は、 すべて選択.

   注意:

   • 通常のWindows選択キーを使用して、複数の選択を行うことができます。
   • ユーザーまたはユーザーグループは、 行政 > ユーザー タブ。
   • ルールは、後で (ルールの作成後) 割り当てることを選択できます。

7. 次へをクリックします。

8. 次のいずれかを実行して、親プロセスのルールを設定します。 前のページで選択したルールの種類に応じて、必要なアクションが異なります。

   • パス。 ルールを一致させるファイルパスまたはフォルダパスを指定します。 フォルダ パスを指定すると、そのフォルダ内のすべてのファイルとサブフォルダにルールが適用されます。 WEM エージェントは、実行可能ファイルのパスに従って、実行可能ファイルにルールを適用します。 パスの一致を示すためにアスタリスク (*) のみを入力することはお勧めしません。 これを行うと、意図しないパフォーマンスの問題が発生する可能性があります。
   • 発行元。 ルールの参照として使用する署名付き参照ファイルを指定します。 [パブリッシャー情報] スライダーを使用して、プロパティの一致レベルを調整します。 スライダーを上下に動かして、ルールの具体性を低くしたり、より具体的にしたりします。 スライダを [任意の発行元] の位置に移動すると、署名されたすべてのファイルにルールが適用されます。 WEM エージェントは、パブリッシャー情報に従って、親プロセスにルールを適用します。 適用すると、ユーザーは同じ発行元情報を共有する実行可能ファイルを実行できます。 必要に応じて、 カスタム値を使用する 情報をカスタマイズします。
   • ハッシュ。 ハッシュを作成するファイルまたはフォルダを指定します。 ルールはファイルのハッシュ コードと一致します。 WEM エージェントは、指定されたとおりの同一の実行可能ファイルにルールを適用します。 その結果、ユーザーは指定した実行可能ファイルと同一の実行可能ファイルを実行できます。

9. クリック 次に を使用して、子プロセスの設定を構成します。

10. 次のいずれかを実行して、該当する子プロセスの許可リストまたはブロックリストを定義します。

    1. メニューからルールタイプを選択し、 足す. ザ 子プロセス ウィンドウが表示されます。
    2. の 子プロセス ウィンドウで、必要に応じて設定を構成します。 のユーザーインターフェース 子プロセス ウィンドウは、選択したルールタイプによって異なります。 子プロセスでは、次のルールタイプを使用できます。 パス, 発行者そして ハッシュ.
    3. クリック わかりました に戻るには、 ルールを追加 窓。 子プロセスをさらに追加するか、 創造する をクリックしてルールを保存し、ウィンドウを終了します。

ユーザーにルールを割り当てるには

リストからルールを 1 つ選択し、 編集 の アクション 節。 の ルールの編集 ウィンドウで、ルールを割り当てるユーザーまたはユーザーグループを選択し、 わかりました.

ルールを削除するには

リストから 1 つ以上のルールを選択し、 削除 の アクション 節。

ルールをバックアップするには

現在の設定セット内のすべてのプロセス階層制御ルールをバックアップできます。 すべてのルールは 1 つの XML ファイルとしてエクスポートされます。 あなたは使用することができます 戻す をクリックして、ルールを任意の構成セットに復元します。

バックアップを完了するには、コマンドを バックアップ ウィザード (リボンで使用できます)。 の使用の詳細については、 バックアップ ウィザード、を参照してください。 リボン.

ルールを復元するには

Workspace Environment Management バックアップウィザードを使用してエクスポートされた XML ファイルから、プロセス階層制御ルールを復元できます。 復元プロセスでは、現在の構成セットのルールがバックアップ内のルールに置き換えられます。 に切り替えるか、更新すると、 安全 > プロセス階層制御 ペインでは、無効なルールはすべて削除され、エクスポート可能なレポートにリストされます。 の使用の詳細については、 戻す ウィザード、を参照してください。 リボン.

プロセス階層制御アクティビティの監査

WEM は、プロセス階層制御に関連する監査アクティビティをサポートします。 詳細については、以下を参照してください。 ユーザー・アクティビティーの監査.

ユーザー・アクティビティーの監査

WEM は、特権の昇格とプロセス階層制御に関連する監査アクティビティをサポートします。 監査を表示するには、 行政 > 伐採 > エージェント タブ。 タブで、ログ設定を構成し、 エレベーションコントロール, 自己昇格又は ProcessHierarchyControl の アクション フィールドをクリックし、 フィルターの適用 を使用して、ログを特定のアクティビティに絞り込みます。 特権の昇格またはプロセス階層制御の全履歴を表示できます。