セキュリティ

これらの設定により、Workspace Environment Management 内のエンドユーザーのアクティビティを制御できます。


アプリケーションセキュリティ

重要:

エンドユーザーが実行できるアプリケーションを制御するには、Windows AppLocker インターフェイスまたはWorkspace Environment Management を使用して Windows AppLocker の規則を管理します。これらのアプローチはいつでも切り替えることができますが、両方のアプローチを同時に使用しないことをお勧めします。

これらの設定により、ルールを定義することによって、ユーザーが実行できるアプリケーションを制御できます。この機能は、Windows AppLocker に似ています。Workspace Environment Management を使用して Windows AppLocker の規則を管理 する場合、エージェントは [アプリケーションセキュリティ] タブの規則をエージェントホスト上の Windows AppLocker の規則に処理 (変換) します。エージェント処理ルールを停止すると、そのルールは構成セット内に保持され、エージェントによって処理された最後の一連の命令を使用して AppLocker の実行が続行されます。

アプリケーションセキュリティ

このタブには、現在のWorkspace Environment Management 構成セットのアプリケーション・セキュリティ・ルールがリストされます。[ 検索 ] を使用すると、テキスト文字列に基づいてリストをフィルタできます。

「セキュリティ」タブで最上位の項目「アプリケーション・セキュリティ」を選択すると、ルール処理を有効または無効にするための次のオプションが使用可能になります。

アプリケーション・セキュリティ・ルールを処理します。選択すると、[アプリケーションセキュリティ] タブのコントロールが有効になり、エージェントは現在の構成セットのルールを処理し、エージェントホスト上の AppLocker ルールに変換します。選択しない場合、[アプリケーションセキュリティ] タブのコントロールは無効になり、エージェントは AppLocker のルールにルールを処理しません。(この場合、AppLocker の規則は更新されません)。

DLL ルールを処理します。選択すると、エージェントは、現在の構成セット内の DLL ルールを、エージェントホスト上の AppLocker DLL ルールに処理します。このオプションは、「 アプリケーション・セキュリティ・ルールを処理」を選択した場合にのみ使用できます。

重要:

DLL ルールを使用する場合は、許可されているすべてのアプリケーションで使用される各 DLL に対して「許可」アクセス許可を持つ DLL ルールを作成する必要があります。

ご注意:

DLL ルールを使用すると、パフォーマンスが低下することがあります。これは、AppLocker が実行を許可される前に、アプリケーションがロードする各 DLL をチェックするために発生します。

ルールコレクション

ルールは AppLocker のルールコレクションに属します。各コレクション名は、含まれるルールの数を示します (12 など)。コレクション名をクリックして、ルール一覧を次のいずれかのコレクションにフィルタします。

  • 実行可能なルール。アプリケーションに関連付けられている拡張子.exeおよび.comのファイルを含むルール。
  • [ Windows の規則]。クライアントコンピュータおよびサーバーへのファイルのインストールを制御するインストーラファイル形式 (.msi、.msp、.mst) を含む規則。
  • スクリプト規則。次の形式のファイルを含むルール:.ps1、.bat、.cmd、.vbs、.js。
  • パッケージ化されたルール。パッケージアプリ (ユニバーサル Windows アプリとも呼ばれる) を含むルール。パッケージアプリでは、アプリパッケージ内のすべてのファイルが同じ ID を共有します。したがって、1 つのルールでアプリ全体を制御できます。 Workspace Environment Management では、パッケージ化されたアプリの発行者ルールのみがサポートされます。
  • DLL のルール。次の形式のファイルを含むルール:.dll、.ocx。

ルール一覧をコレクションにフィルター処理する場合、 [ルールの適用 ] オプションを使用して、AppLocker がエージェントホスト上のコレクション内のすべてのルールを適用する方法を制御できます。次のルール適用値を使用できます。

オフ (デフォルト)。ルールが作成され、「off」に設定されます。つまり、ルールは適用されません。

[ オン] ルールが作成され、「enforce」に設定されます。これは、エージェント・ホスト上でアクティブであることを意味します。

監査。ルールが作成され、「監査」に設定されます。これは、エージェント・ホスト上で非アクティブ状態にあることを意味します。これらのルールに違反する事態が開始されると、Windowsは強制されたログを記録します。

ルールを追加するには

1. サイドバーでルールコレクション名を選択します。たとえば、実行可能ルールを追加するには、「実行可能ルール」コレクションを選択します。

2. [ ルールの追加]をクリックします。

3. [表示] セクションで、次の詳細を入力します。

名前。規則リストに表示される規則の表示名。

説明。リソースに関する追加情報(オプション)。

4. [タイプ] セクションで、次のオプションをクリックします。

パス。ルールがファイルパスまたはフォルダパスと一致します。

発行元。ルールは、選択したパブリッシャと一致します。

ハッシュ。ルールは特定のハッシュコードに一致します。

5 [アクセス 許可] セクションで、このルールがアプリケーションの実行を許可 するか 拒否 するかをクリックします。

6. この規則をユーザーまたはユーザーグループに割り当てるには、[割り当て] ペインで、この規則を割り当てるユーザーまたはグループを選択します。「割り当て済み」列には、割り当てられたユーザーまたはグループの「チェック」アイコンが表示されます。

ヒント: 通常の Windows の選択修飾キーを使用して複数選択することも、 [すべて選択] を使用してすべての行を選択することもできます。

ヒント: ユーザーは、「Workspace Environment Management」「ユーザー」リストにすでに含まれている必要があります。

ヒント: ルールの作成後にルールを割り当てることができます。

7. [ 次へ] をクリックします。

8. 選択したルールタイプに応じて、ルールが一致する基準を指定します。

パス。一致させるルールのファイルパスまたはフォルダパスを入力します。フォルダを入力すると、ルールはそのフォルダ内および下のすべてのファイルに一致します。

発行元。署名付き参照ファイルを指定し、[Publisher Info] スライダを使用してプロパティマッチングのレベルを調整します。

ハッシュ。ファイルを指定します。ルールは、ファイルのハッシュコードと一致します。

9. [ 次へ] をクリックします。

10. 必要な例外を追加します(オプション)。[例外の追加] で例外の種類を選択し、[ 追加] をクリックします。(必要に応じて例外 を編集 および 削除 できます)。

11. ルールを保存するには、[ 作成] をクリックします。

ユーザーにルールを割り当てるには

リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディタで、ルールを割り当てるユーザーおよびユーザー・グループを含む行を選択し、「 OK」をクリックします。「すべて選択」( Select All) を使用して、選択したルールをすべての ユーザーから割り当て解除することもできます。

注意: 複数のルールを選択して「≪編集| Edit|emdw≫」をクリックすると、そのルールのルール割当ての変更が、選択したすべてのユーザーとユーザー・グループに適用されます。つまり、既存のルール割り当ては、それらのルール間でマージされます。

既定の規則を追加するには

[ 既定の規則の追加]をクリックします。AppLocker の既定の規則のセットが一覧に追加されます。

ルールを編集するには

リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディタが表示され、選択した内容に適用する設定を調整できます。

ルールを削除するには

リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 削除 ] をクリックします。

アプリケーションのセキュリティ規則をバックアップするには

現在の構成セット内のすべてのアプリケーションセキュリティルールをバックアップできます。ルールはすべて単一の XML ファイルとしてエクスポートされます。[ 復元] を使用すると、規則を任意の構成セットに復元できます。 リボンで、[ バックアップ ] をクリックし、[ セキュリティの設定] を選択します。

アプリケーション・セキュリティ・ルールを復元するには

「Workspace Environment Management」「バックアップ」コマンドで作成されたXMLファイルから、アプリケーション・セキュリティ・ルールを復元できます。復元プロセスでは、現在の構成セットのルールがバックアップ内のルールに置き換えられます。[セキュリティ] タブに切り替えたり、更新したりすると、無効なアプリケーションセキュリティルールが検出されます。無効なルールは自動的に削除され、エクスポートできるレポートダイアログに一覧表示されます。

復元プロセス中に、現在の構成セットのユーザーとユーザーグループにルールの割り当てを復元するかどうかを選択できます。再割り当てが成功するのは、バックアップされたユーザ/グループが現在の構成セット/アクティブディレクトリに存在する場合だけです。一致しないルールは復元されますが、未割り当てのままです。復元後、CSV 形式でエクスポートできるレポートダイアログに一覧表示されます。

1. リボンで、[ 復元 ] をクリックして復元ウィザードを開始します。

2. [セキュリティ設定] を選択し、[ 次へ ] を 2 回クリックします。

3. [ フォルダから復元]で、バックアップファイルが保存されているフォルダを参照します。

4. [ AppLocker の規則の設定]を選択し、[ 次へ] をクリックします。

5 ルールの割り当てを復元するかどうかを確認します。

はい。ルールを復元し、現在の構成セット内の同じユーザーとユーザーグループに再割り当てします。

いいえ。ルールを復元し、未割り当てのままにします。

6. 復元を開始するには、[ 設定の復元]をクリックします。


プロセス管理

これらの設定により、特定のプロセスをホワイトリストまたはブラックリストに登録できます。

プロセス管理

プロセス管理を有効にします。プロセスのホワイトリスト/ブラックリストが有効かどうかを切り替えます。無効にすると、[ ブラックリストを処理] タブと [WhileListを処理 ] タブの設定は考慮されません。

注:

このオプションは、セッションエージェントがユーザーのセッションで実行されている場合にのみ機能します。これを行うには、 メイン構成エージェントの設定を使用して、[エージェントの起動 ] オプション ([ログオン ]/[再接続時] /[管理者用 ]) をユーザー/セッションの種類に応じて起動するように設定し、 [エージェントタイプ] を [UI] に設定します。これらのオプションについては、「詳細設定」を参照してください構成

ブラックリストを処理

これらの設定により、特定のプロセスをブラックリストに登録できます。

プロセスのブラックリストを有効にします。これにより、プロセスのブラックリストが有効になります。プロセスは、実行可能ファイル名 (cmd.exe など) で追加する必要があります。

ローカル管理者を除外します。プロセスのブラックリストからローカル管理者アカウントを除外します。

[指定したグループを除外]: プロセスのブラックリストから特定のユーザグループを除外できます。

ホワイトリストを処理

これらの設定により、特定のプロセスをホワイトリストに登録できます。プロセスブラックリストとプロセスホワイトリストは、相互に排他的です。

プロセスのホワイトリストを有効にします。これにより、プロセスのホワイトリストが有効になります。プロセスは、実行可能ファイル名 (cmd.exe など) で追加する必要があります。注:[プロセスのホワイトリストを有効にする] を有効にすると、ホワイト リストに含まれていないすべてのプロセスが自動的にブラックリストされます。

ローカル管理者を除外します。ローカル管理者アカウントをプロセスのホワイトリストから除外します (すべてのプロセスを実行できます)。

[指定したグループを除外]: 特定のユーザーグループをプロセスのホワイトリストから除外できます(すべてのプロセスを実行できます)。