Workspace Environment Management

セキュリティ

これらの設定では、Workspace Environment Management 内のユーザーアクティビティを制御できます。


アプリケーションセキュリティ

重要:

ユーザーが実行できるアプリケーションを制御するには、Windows AppLocker インターフェイスまたはWorkspace Environment Management を使用して、Windows AppLocker のルールを管理します。これらのアプローチはいつでも切り替えることができますが、両方のアプローチを同時に使用しないことをお勧めします。

これらの設定では、ルールを定義してユーザーが実行を許可するアプリケーションを制御できます。この機能は Windows AppLocker に似ています。Workspace Environment Management を使用して Windows AppLocker の規則を管理する場合、エージェントは [アプリケーションセキュリティ] タブの規則をエージェントホスト上の Windows AppLocker の規則に処理 (変換) します。エージェント処理規則を停止すると、その規則は構成セット内に保持され、AppLocker はエージェントによって処理された最後の命令セットを使用して実行を継続します。

アプリケーションセキュリティ

このタブには、現在のWorkspace Environment Management 構成セットのアプリケーションセキュリティルールがリストされます。「検索」( Find ) を使用すると、テキスト文字列に従ってリストをフィルタできます。

「セキュリティ」** タブで最上位の項目「Application **Security」を選択すると、次のオプションを使用して、ルール処理を有効または無効にすることができます。

アプリケーションのセキュリティ規則を処理します。選択すると、[App lication Security ] タブのコントロールが有効になり、エージェントは現在の構成セット内のルールを処理し、エージェント・ホスト上のAppLockerルールに変換します。選択しない場合、[App lication Security ] タブのコントロールは無効になり、エージェントはルールを AppLocker ルールに処理しません。この場合、AppLocker の規則は更新されません。

注:

このオプションは、Workspace Environment Management管理コンソールが Windows 7 SP1 または Windows Server 2008 R2 SP1 (またはそれ以前のバージョン) にインストールされている場合は使用できません。

DLL ルールを処理します。選択すると、エージェントは、現在の構成セット内の DLL ルールを、エージェントホスト上の AppLocker DLL ルールに変換処理します。このオプションは、「アプリケーションのセキュリティ規則を 処理」を選択した場合にのみ使用できます

重要:

DLL ルールを使用する場合は、許可されたすべてのアプリケーションで使用される各 DLL に対して「許可」アクセス許可を持つ DLL ルールを作成する必要があります。

注意:

DLL ルールを使用すると、パフォーマンスが低下する可能性があります。これは、AppLocker が実行を許可される前にアプリケーションがロードする各 DLL をチェックするためです。

ルールコレクション

ルールは AppLocker ルールコレクションに属します。各コレクション名は、(12) など、含まれているルールの数を示します。ルール一覧を次のコレクションのいずれかにフィルタするには、コレクション名をクリックします。

  • 実行可能なルール。アプリケーションに関連付けられている拡張子.exe と .com のファイルを含むルール。
  • Windows のルール。クライアントコンピュータおよびサーバーへのファイルのインストールを制御するインストーラーファイル形式 (.msi、.msp、.mst) を含む規則。
  • スクリプトルール。.ps1、.bat、.cmd、.vbs、.js という形式のファイルを含むルール。
  • パッケージ化されたルール。ユニバーサル Windows アプリとも呼ばれるパッケージアプリを含むルール。パッケージ化されたアプリでは、アプリパッケージ内のすべてのファイルが同じ ID を共有します。したがって、1 つのルールでアプリ全体を制御できます。Workspace Environment Management では、パッケージ化されたアプリケーションのパブリッシャールールールのみがサポートされます。
  • DLL ルール。次の形式のファイルを含むルール:.dll、.ocx。

規則リストをコレクションにフィルタ処理すると、AppLockerがエージェント・ホスト上でそのコレクション内のすべての規則をどのように適用するかを制御するために、[規則の適用]** オプションを使用できます。 **次のルール適用値を使用できます。

オフ (デフォルト)。ルールが作成され、「off」に設定されます。つまり、ルールは適用されません。

オン。ルールが作成され、「enforce」に設定されます。これは、エージェントホスト上でアクティブであることを意味します。

監査。ルールが作成され、「audit」に設定されます。これは、エージェントホスト上で非アクティブ状態にあることを意味します。これらのルールに違反する処理が開始されると、Windows ログが記録されます。

AppLocker ルールをインポートするには

AppLocker からエクスポート済みのルールをWorkspace Environment Management にインポートできます。インポートされた Windows AppLocker の設定は、** [ **セキュリティ] タブの既存のルールに追加されます。無効なアプリケーションセキュリティルールは自動的に削除され、エクスポートできるレポートダイアログにリストされます。

1.リボンで、[AppLocker ルールの インポート] をクリックします

2.AppLocker ルールを含む AppLocker からエクスポートされた XML ファイルを参照します。

3.[ インポート] をクリックします

ルールが「アプリケーションセキュリティのルール」リストに追加されます。

ルールを追加するには

1.サイドバーでルールコレクション名を選択します。たとえば、実行可能ルールを追加するには、「実行可能ルール」コレクションを選択します。

2.[ルールの 追加] をクリックします

3.[ 表示] セクションで、次の詳細を入力します。

名前。規則リストに表示される規則の表示名。

説明。リソースに関する追加情報 (オプション)。

4.[ タイプ] セクションで、次のいずれかのオプションをクリックします。

Path-この規則は、ファイルパスまたはフォルダパスに一致します。

パブリッシャー。ルールは、選択した発行元と一致します。

ハッシュ。ルールは特定のハッシュコードと一致します。

5.[ アクセス許可] セクションで、このルールで** アプリケーションの実行 を許可 するか **拒否するかをクリックします。

6.このルールをユーザーまたはユーザーグループに割り当てるには、[ 割り当て ] ウィンドウで、このルールを割り当てるユーザーまたはグループを選択します。[割り当て済み] 列には、割り当てられたユーザーまたはグループの [チェック] アイコンが表示されます。

ヒント: 通常の Windows の選択修飾キーを使用して複数の選択を行うか、 [すべて 選択] を使用してすべての行を選択できます。

ヒント: ユーザーは、Workspace Environment Management の「ユーザー」リストにすでに存在している必要があります。

ヒント: ルールの作成後にルールを割り当てることができます。

7.[ 次へ] をクリックします

8.選択したルール・タイプに応じて、ルールが一致する基準を指定します。

Path-ルールを照合するファイルパスまたはフォルダーパスを指定します。フォルダーを選択すると、ルールはそのフォルダー内および下のすべてのファイルに一致します。

パブリッシャー。署名付き参照ファイルを指定し、[Publisher Info] スライダを使用してプロパティの照合レベルを調整します。

ハッシュ。ファイルを指定します。ルールは、ファイルのハッシュコードと一致します。

9.[ 次へ] をクリックします

10.必要な例外を追加します(オプション)。「例外の追加」で例外タイプを選択し、「 追加」をクリックします。(必要に応じて、** 例外 を編集 および **削除できます)。

11.ルールを保存するには、[ Create] をクリックします

ユーザーにルールを割り当てるには

リストから 1 つまたは複数の規則を選択し、ツールバーまたはコンテキストメニューの** [ 編集] をクリックします。エディタで、ルールを割り当てるユーザーおよびユーザー・グループを含む行を選択し、「 **OK」をクリックします[ すべて選択] を使用して、すべての選択をクリア するために、選択したルールをすべてのユーザーから割り当て解除することもできます。

注意: 複数のルールを選択して「≪ 編集|Edit|emdw≫」をクリックすると、それらのルールに対するルールの割り当ての変更は、選択したすべてのユーザーおよびユーザー・グループに適用されます。つまり、既存のルール割り当ては、それらのルール間でマージされます。

既定のルールを追加するには

[既定のルールの 追加] をクリックします。AppLocker のデフォルトルールのセットがリストに追加されます。

ルールを編集するには

リストから 1 つまたは複数の規則を選択し、ツールバーまたはコンテキストメニューの** [ **編集] をクリックします。エディターが表示され、選択した内容に適用する設定を調整できます。

ルールを削除するには

リストから 1 つまたは複数の規則を選択し、ツールバーまたはコンテキストメニューの** [ **削除] をクリックします。

アプリケーションセキュリティルールをバックアップするには

現在の構成セット内のすべてのアプリケーション・セキュリティ・ルールをバックアップできます。ルールはすべて単一の XML ファイルとしてエクスポートされます。[ 復元] を使用して 、ルールを任意の構成セットに復元できます。リボンで、[ バックアップ ] をクリックし、[ セキュリティ設定] を選択します

アプリケーションセキュリティルールを復元するには

Workspace Environment Management バックアップコマンドで作成された XML ファイルから、アプリケーションセキュリティルールを復元できます。復元プロセスによって、現在の構成セット内の規則がバックアップ内の規則に置き換えられます。** [ **セキュリティ] タブに切り替えるか、更新すると、無効なアプリケーションセキュリティルールが検出されます。無効なルールは自動的に削除され、レポートダイアログにリストされます。このダイアログはエクスポートできます。

復元プロセス中に、現在の構成セット内のユーザーおよびユーザーグループへのルールの割り当てを復元するかどうかを選択できます。再割り当ては、バックアップされたユーザー/グループが現在の構成セット/アクティブディレクトリに存在する場合のみ成功します。一致しないルールは復元されますが、割り当てられていないままになります。復元後、レポートダイアログに一覧表示され、CSV形式でエクスポートできます。

1.リボンの [ 復元 ] をクリックして、復元ウィザードを開始します。

2.[セキュリティ設定] を選択し、[ 次へ] を 2 回クリックします。

3.[フォルダから 復元] で、バックアップファイルを含むフォルダを参照します。

4.[ AppLocker ルール設定] を選択し、[ 次へ] をクリックします

5.ルールの割り当てを復元するかどうかを確認します。

はい。ルールを復元し、現在の構成セット内の同じユーザーおよびユーザーグループに再割り当てします。

**なしルールを復元し、割り当てを解除したままにします。

6.復元を開始するには、[設定の 復元] をクリックします


プロセス管理

これらの設定により、特定のプロセスをホワイトリストまたはブラックリストに登録できます。

プロセス管理

プロセス管理を有効にします。これにより、プロセスのホワイトリスト/ブラックリストが有効かどうかが切り替わります。無効にすると、「ブラックリストの 処理」タブ「WhileList 」タブの設定は考慮されません。

注:

このオプションは、セッションエージェントがユーザーのセッションで実行されている場合にのみ機能します。これを行うには、 メイン構成 エージェントの設定を使用して、ユーザー/セッションの種類に応じて 起動するエージェントの起動 オプション(ログオン/再接続/管理者)を設定し、エージェントタイプ を「UI」にします。これらのオプションについては、「 詳細設定」を参照してください

ブラックリストの処理

これらの設定により、特定のプロセスをブラックリストに登録できます。

プロセスブラックリストを有効にします。これにより、プロセスのブラックリストが有効になります。実行可能ファイル名 (cmd.exe など) を使用してプロセスを追加する必要があります。

ローカル管理者を除外します。プロセスのブラックリストからローカル管理者アカウントを除外します。

[ 指定したグループを除外]:プロセスブラックリストから特定のユーザグループを除外できます。

プロセスのホワイトリスト

これらの設定により、特定のプロセスをホワイトリストに登録できます。プロセスのブラックリストとホワイトリストは、相互に排他的です。

プロセスホワイトリストを有効にします。これにより、プロセスのホワイトリストが有効になります。実行可能ファイル名 (cmd.exe など) を使用してプロセスを追加する必要があります。注:有効 にすると、 ホワイトリストに含まれていないすべてのプロセス が自動的にブラックリストに登録されます。

ローカル管理者を除外します。ローカル管理者アカウントをプロセスのホワイトリストから除外します(すべてのプロセスを実行できます)。

[ 指定したグループを除外]:特定のユーザーグループをプロセスのホワイトリストから除外できます(すべてのプロセスを実行できます)。

セキュリティ