セキュリティ

これらの設定により、Workspace Environment Management 内のエンドユーザーのアクティビティを制御できます。


アプリケーションセキュリティ

重要:

エンドユーザーが実行できるアプリケーションを制御するには、Windows AppLocker インターフェイスまたはWorkspace Environment Management を使用して Windows AppLocker の規則を管理します。これらのアプローチはいつでも切り替えることができますが、両方のアプローチを同時に使用しないことをお勧めします。

これらの設定により、ルールを定義することによって、ユーザーが実行できるアプリケーションを制御できます。この機能は、Windows AppLocker に似ています。Workspace Environment Management を使用して Windows AppLocker の規則を管理する場合、エージェントは [アプリケーションセキュリティ] タブの規則をエージェントホスト上の Windows AppLocker の規則に処理 (変換) します。エージェント処理ルールを停止すると、そのルールは構成セット内に保持され、エージェントによって処理された最後の一連の命令を使用して AppLocker の実行が続行されます。

アプリケーションセキュリティ

このタブには、現在のWorkspace Environment Management 構成セットのアプリケーションセキュリティルールがリストされます。「検索」( Find ) を使用すると、テキスト文字列に対してリストをフィルターできます。

「セキュリティ」タブで最上位の項目「アプリケーションセキュリティ」を選択すると、ルール処理を有効または無効にするための次のオプションが使用可能になります。

アプリケーションセキュリティルールを処理する。選択すると、[アプリケーションセキュリティ] タブのコントロールが有効になり、エージェントは現在の構成セットのルールを処理し、エージェントホスト上の AppLocker ルールに変換します。選択しない場合、[アプリケーションセキュリティ] タブのコントロールは無効になり、エージェントは AppLocker のルールにルールを変換処理しません。この場合、AppLocker の規則は更新されません。

DLL ルールを処理する。選択すると、エージェントは、現在の構成セット内の DLL ルールを、エージェントホスト上の AppLocker DLL ルールに変換処理します。このオプションは、「 アプリケーションセキュリティルールを処理する」を選択した場合にのみ使用できます。

重要:

DLL ルールを使用する場合は、許可されているすべてのアプリケーションで使用される各 DLL に対して「許可」アクセス許可を持つ DLL ルールを作成する必要があります。

注意:

DLL ルールを使用すると、パフォーマンスが低下することがあります。これは、AppLocker が実行を許可される前に、アプリケーションがロードする各 DLL をチェックするために発生します。

ルールコレクション

ルールは AppLocker のルールコレクションに属します。各コレクション名は、含まれるルールの数を示します (12 など)。コレクション名をクリックして、ルール一覧を次のいずれかのコレクションにフィルタします。

  • 実行可能なルール。アプリケーションに関連付けられている拡張子.exeおよび.comのファイルを含むルール。
  • Windows の規則。クライアントコンピュータおよびサーバーへのファイルのインストールを制御するインストーラーファイル形式 (.msi、.msp、.mst) を含む規則。
  • スクリプト規則。次の形式のファイルを含むルール:.ps1、.bat、.cmd、.vbs、.js。
  • パッケージ化されたルール。パッケージアプリ (ユニバーサル Windows アプリとも呼ばれる) を含むルール。パッケージアプリでは、アプリパッケージ内のすべてのファイルが同じ ID を共有します。したがって、1 つのルールでアプリ全体を制御できます。 Workspace Environment Management では、パッケージ化されたアプリの発行者ルールのみがサポートされます。
  • DLL のルール。次の形式のファイルを含むルール:.dll、.ocx。

ルール一覧をコレクションにフィルター処理する場合、 [ルールの適用] オプションを使用して、AppLocker がエージェントホスト上のコレクション内のすべてのルールを適用する方法を制御できます。次のルール適用値を使用できます。

オフ (デフォルト)。ルールが作成され、「off」に設定されます。つまり、ルールは適用されません。

オン。ルールが作成され、「enforce」に設定されます。これは、エージェントホスト上でアクティブであることを意味します。

監査。ルールが作成され、「audit」に設定されます。これは、エージェントホスト上で非アクティブ状態にあることを意味します。これらのルールに違反する事態が開始されると、Windowsは強制されたログを記録します。

ルールを追加するには

1. サイドバーでルールコレクション名を選択します。たとえば、実行可能ルールを追加するには、「実行可能ルール」コレクションを選択します。

2.[ルールの追加] をクリックします。

3. [表示] セクションで、次の詳細を入力します。

名前。規則リストに表示される規則の表示名。

説明。リソースに関する追加情報(オプション)。

4. [タイプ] セクションで、次のオプションをクリックします。

パス。ルールがファイルパスまたはフォルダパスと一致します。

発行元。ルールは、選択した発行元と一致します。

ハッシュ。ルールは特定のハッシュコードに一致します。

5. [権限] セクションで、このルールがアプリケーションの実行を許可 するか 拒否 するかをクリックします。

6. この規則をユーザーまたはユーザーグループに割り当てるには、[割り当て] ペインで、この規則を割り当てるユーザーまたはグループを選択します。「割り当て済み」列には、割り当てられたユーザーまたはグループの「チェック」アイコンが表示されます。

ヒント: 通常の Windows の選択修飾キーを使用して複数選択することも、 [すべて選択] を使用してすべての行を選択することもできます。

ヒント: ユーザーは、Workspace Environment Managementのユーザーリストにすでに含まれている必要があります。

ヒント: ルールの作成後にルールを割り当てることができます。

7.[次へ] をクリックします。

8. 選択したルールタイプに応じて、ルールが一致する基準を指定します。

パス。一致させるルールのファイルパスまたはフォルダパスを入力します。フォルダを入力すると、ルールはそのフォルダ内および下のすべてのファイルに一致します。

発行元。署名付き参照ファイルを指定し、[Publisher Info] スライダを使用してプロパティマッチングのレベルを調整します。

ハッシュ。ファイルを指定します。ルールは、ファイルのハッシュコードと一致します。

9.[次へ] をクリックします。

10. 必要な例外を追加します(オプション)。[例外の追加] で例外の種類を選択し、[ 追加] をクリックします。(必要に応じて例外を編集 および 削除 できます。)

11. ルールを保存するには、[ 作成] をクリックします。

ユーザーにルールを割り当てるには

リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディターで、ルールを割り当てるユーザーおよびユーザーグループを含む行を選択し、「OK」をクリックします。[すべて選択] を使用して、選択したルールをすべてのユーザーから割り当て解除することもできます。

: 複数のルールを選択して [編集] をクリックすると、そのルールのルール割当ての変更が、選択したすべてのユーザーとユーザー・グループに適用されます。つまり、既存のルール割り当ては、それらのルール間でマージされます。

既定の規則を追加するには

[既定の規則の追加]をクリックします。AppLocker の既定の規則のセットが一覧に追加されます。

ルールを編集するには

リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディターが表示され、選択した内容に適用する設定を調整できます。

ルールを削除するには

リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 削除 ] をクリックします。

アプリケーションのセキュリティ規則をバックアップするには

現在の構成セット内のすべてのアプリケーションセキュリティルールをバックアップできます。ルールはすべて単一の XML ファイルとしてエクスポートされます。[復元] を使用すると、規則を任意の構成セットに復元できます。 リボンで、[バックアップ] をクリックし、[セキュリティの設定] を選択します。

アプリケーションセキュリティルールを復元するには

Workspace Environment Managementのバックアップコマンドで作成されたXMLファイルから、アプリケーションセキュリティルールを復元できます。復元プロセスでは、現在の構成セットのルールがバックアップ内のルールに置き換えられます。[セキュリティ] タブに切り替えたり、更新したりすると、無効なアプリケーションセキュリティルールが検出されます。無効なルールは自動的に削除され、エクスポートできるレポートダイアログに一覧表示されます。

復元プロセス中に、現在の構成セットのユーザーとユーザーグループにルールの割り当てを復元するかどうかを選択できます。再割り当てが成功するのは、バックアップされたユーザ/グループが現在の構成セット/アクティブディレクトリに存在する場合だけです。一致しないルールは復元されますが、未割り当てのままです。復元後、CSV 形式でエクスポートできるレポートダイアログに一覧表示されます。

1. リボンで、[ 復元 ] をクリックして復元ウィザードを開始します。

2. [セキュリティ設定] を選択し、[ 次へ ] を 2 回クリックします。

3.[フォルダから復元] で、バックアップファイルが保存されているフォルダーを参照します。

4.[AppLocker の規則の設定] を選択し、[次へ] をクリックします。

5. ルールの割り当てを復元するかどうかを確認します。

はい。ルールを復元し、現在の構成セット内の同じユーザーとユーザーグループに再割り当てします。

いいえ。ルールを復元し、未割り当てのままにします。

6. 復元を開始するには、[設定の復元] をクリックします。


プロセス管理

これらの設定により、特定のプロセスをホワイトリストまたはブラックリストに登録できます。

プロセス管理

プロセス管理を有効にする。プロセスのホワイトリスト/ブラックリストが有効かどうかを切り替えます。無効にすると、[プロセスのブラックリスト] **タブと **[プロセスのホワイトリスト] タブの設定は考慮されません。

注:

このオプションは、セッションエージェントがユーザーのセッションで実行されている場合にのみ機能します。これを行うには、[メイン構成] ** エージェント設定を使用して、[エージェントの起動]** オプション (ログオン時/再接続時/管理者用) をユーザー/セッションの種類に応じて起動するように設定し、[エージェントの種類] を「UI」に設定します。これらのオプションについては、「詳細設定」を参照してください構成

プロセスのブラックリスト

これらの設定により、特定のプロセスをブラックリストに登録できます。

プロセスのブラックリストを有効にする。これにより、プロセスのブラックリストが有効になります。プロセスは、実行可能ファイル名 (cmd.exe など) で追加する必要があります。

ローカル管理者を除外する。プロセスのブラックリストからローカル管理者アカウントを除外します。

指定したグループを除外する。プロセスのブラックリストから特定のユーザグループを除外できます。

プロセスのホワイトリスト

これらの設定により、特定のプロセスをホワイトリストに登録できます。プロセスのブラックリストとホワイトリストは、相互に排他的です。

プロセスのホワイトリストを有効にする。これにより、プロセスのホワイトリストが有効になります。プロセスは、実行可能ファイル名 (cmd.exe など) で追加する必要があります。注: [プロセスのホワイトリストを有効にする] を有効にすると、ホワイトリストに含まれていないすべてのプロセスが自動的にブラックリスト化されます。

ローカル管理者を除外する。ローカル管理者アカウントをプロセスのホワイトリストから除外します (すべてのプロセスを実行できます)。

指定したグループを除外する。特定のユーザーグループをプロセスのホワイトリストから除外できます(すべてのプロセスを実行できます)。