セキュリティ
これらの設定により、Workspace Environment Management 内のユーザー・アクティビティを制御できます。
アプリケーションのセキュリティ
重要:
ユーザーが実行できるアプリケーションを制御するには、Windows AppLocker インターフェイスまたはWorkspace Environment Management を使用して Windows AppLocker ルールを管理します。これらのアプローチはいつでも切り替えることができますが、両方のアプローチを同時に使用しないことをお勧めします。
これらの設定では、ルールを定義することで、ユーザーが実行できるアプリケーションを制御できます。この機能は Windows AppLocker に似ています。 Workspace Environment Management を使用して Windows AppLocker ルールを管理する場合、エージェントは、エージェントホストの [アプリケーションセキュリティ] タブのルールを Windows AppLocker ルールに処理 (変換) します。エージェント処理ルールを停止すると、これらのルールは構成セットに保持され、AppLocker は、エージェントによって処理された最後の命令セットを使用して実行を継続します。
アプリケーションのセキュリティ
このタブには、現在の Workspace Environment Management 構成セットのアプリケーションセキュリティルールが一覧表示されます。「検索」( Find ) を使用すると、テキスト文字列に基づいてリストをフィルタリングできます。
「セキュリティ」タブで最上位の項目「 アプリケーションセキュリティ 」を選択すると、次のオプションを使用してルール処理を有効または無効にすることができます。
-
アプリケーションセキュリティルールを処理する。選択すると、[ Application Security ]タブのコントロールが有効になり、エージェントは現在の構成セット内のルールを処理し、エージェント・ホスト上のAppLockerルールに変換されます。選択しない場合、[ アプリケーションセキュリティ ] タブのコントロールは無効になり、エージェントはルールを AppLocker ルールに処理しません。この場合、AppLocker の規則は更新されません。
注:
このオプションは、Workspace Environment Management 管理コンソールが Windows 7 SP1 または Windows Server 2008 R2 SP1 (またはそれ以前のバージョン) にインストールされている場合は使用できません。
-
DLL ルールを処理する。選択すると、エージェントは現在の構成セットの DLL ルールをエージェントホスト上の AppLocker DLL ルールで処理します。このオプションは、[ アプリケーションセキュリティルールの処理] を選択した場合にのみ使用できます。
重要:
DLL ルールを使用する場合は、許可されたすべてのアプリで使用される各 DLL に対して「許可」アクセス許可を持つ DLL ルールを作成する必要があります。
注意:
DLL ルールを使用すると、ユーザーのパフォーマンスが低下する可能性があります。これは、AppLocker が実行を許可される前に、アプリがロードする各 DLL をチェックするために発生します。
-
[ 上書き ] および [ マージ ] の設定では、エージェントがアプリケーションセキュリティルールを処理する方法を指定できます。
- [上書き]。既存のルールを上書きできます。選択すると、最後に処理されたルールは、以前に処理されたルールを上書きします。このモードは、シングルセッションマシンにのみ適用することをお勧めします。
- マージ。ルールを既存のルールとマージできます。競合が発生すると、最後に処理されたルールは、以前に処理されたルールを上書きします。マージ中にルール適用設定を変更する必要がある場合は、上書きモードを使用してください。マージモードでは古い値が異なっていても保持されるためです。
ルール・コレクション
ルールは AppLocker ルールコレクションに属します。各コレクション名は、(12) など、そのコレクションに含まれるルールの数を示します。コレクション名をクリックして、規則リストを次のいずれかのコレクションにフィルタします。
- 実行可能なルール。アプリケーションに関連付けられている拡張子が.exe および .com のファイルを含むルール。
- Windows の規則。クライアントコンピュータおよびサーバーへのファイルのインストールを制御するインストーラのファイル形式 (.msi、.msp、.mst) を含むルール。
- スクリプトルール。.ps1、.bat、.cmd、.vbs、.js形式のファイルを含むルール
- パッケージルール。パッケージアプリを含むルール。ユニバーサル Windows アプリとも呼ばれます。パッケージアプリでは、アプリパッケージ内のすべてのファイルが同じ ID を共有します。したがって、1 つのルールでアプリ全体を制御できます。Workspace Environment Management は、パッケージ化されたアプリケーションの発行元規則のみをサポートします。
- DLLのルール。.dll、.ocx の形式のファイルを含むルール
ルール一覧をコレクションにフィルター処理する場合、 [ルールの適用] オプションを使用して、AppLocker がエージェントホスト上のコレクション内のすべてのルールを適用する方法を制御できます。次のルール適用値を使用できます。
オフ (デフォルト)。ルールが作成され、「オフ」に設定されます。つまり、ルールは適用されません。
オン。ルールが作成され、「強制」に設定されます。これは、エージェント・ホスト上でアクティブであることを意味します。
監査。ルールが作成され、「audit」に設定されます。これは、エージェントホスト上で非アクティブ状態にあることを意味します。ユーザーが AppLocker ルールに違反するアプリを実行すると、そのアプリの実行が許可され、アプリに関する情報が AppLocker イベントログに追加されます。
AppLocker ルールをインポートするには
AppLocker からエクスポートされたルールを [Workspace Environment Management] にインポートできます。インポートされた Windows AppLocker 設定は、[ セキュリティ ] タブの既存のルールに追加されます。無効なアプリケーションセキュリティルールは自動的に削除され、レポートダイアログに一覧表示されます。
-
リボンで、[ AppLocker ルールのインポート] をクリックします。
-
AppLocker からエクスポートされた XML ファイルを参照して、AppLocker ルールを含めます。
-
[インポート] をクリックします。
ルールが [アプリケーションセキュリティのルール] リストに追加されます。
ルールを追加するには
-
サイドバーでルールコレクション名を選択します。たとえば、実行可能ルールを追加するには、「実行可能ルール」コレクションを選択します。
-
[ルールの追加] をクリックします。
-
[ 表示] セクションで、次の詳細を入力します。
- Name:ルールリストに表示されるルールの表示名。
- [説明]。リソースに関する追加情報(オプション)。
-
[ タイプ ] セクションで、次のオプションをクリックします。
- パス。ルールはファイルパスまたはフォルダパスに一致します。
- 発行元。ルールは、選択したパブリッシャと一致します。
- ハッシュ。ルールは特定のハッシュコードに一致します。
-
[ アクセス許可 ] セクションで、 **このルールでアプリケーションの実行を許可または拒否するかどうかをクリックします** 。
-
このルールをユーザーまたはユーザーグループに割り当てるには、[ 割り当て ] ペインで、このルールを割り当てるユーザーまたはグループを選択します。[割り当て済み] 列には、割り当てられたユーザーまたはグループの [チェック] アイコンが表示されます。
ヒント:
- 通常の Windows の選択修飾キーを使用して複数の選択を行うか、 [すべて選択] を使用してすべての行を選択できます。
- ユーザーは「Workspace Environment Management ユーザー」リストにすでに存在している必要があります。
- ルールの作成後にルールを割り当てることができます。
-
[次へ] をクリックします。
-
選択したルールタイプに応じて、ルールが一致する基準を指定します。
- パス。ルールを照合するファイルパスまたはフォルダパスを指定します。フォルダを選択すると、ルールはそのフォルダ内および下のすべてのファイルに一致します。
- 発行元。署名付きリファレンスファイルを指定し、[Publisher Info] スライダを使用してプロパティマッチングのレベルを調整します。
- ハッシュ。ファイルを指定します。ルールはファイルのハッシュコードと一致します。
-
[次へ] をクリックします。
-
必要な例外を追加します(オプション)。[例外の追加] で、例外タイプを選択し、[ 追加] をクリックします。(必要に応じて、 **例外を編集および削除できます** )。
-
ルールを保存するには、[ Create] をクリックします。
ユーザーにルールを割り当てるには
リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディタで、ルールを割り当てるユーザーおよびユーザー・グループを含む行を選択し、 「OK」をクリックします。[すべて選択] を使用して、選択したルールをすべてのユーザーから割り当て解除することもできます。
注:複数のルールを選択して「 編集」をクリックすると、それらのルールに対するルール割り当ての変更が、選択したすべてのユーザーおよびユーザー・グループに適用されます。つまり、既存のルールの割り当ては、それらのルール間でマージされます。
既定のルールを追加するには
[ 既定の規則の追加] をクリックします。AppLocker の既定のルールのセットがリストに追加されます。
ルールを編集するには
リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディタが表示され、選択した内容に適用される設定を調整できます。
ルールを削除するには
リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 削除 ] をクリックします。
アプリケーションセキュリティルールをバックアップするには
現在の構成セット内のすべてのアプリケーション・セキュリティ・ルールをバックアップできます。ルールはすべて単一の XML ファイルとしてエクスポートされます。[復元] を使用すると、規則を任意の構成セットに復元できます。 リボンで、[ バックアップ ] をクリックし、[ セキュリティ設定] を選択します。
アプリケーションセキュリティルールを復元するには
Workspace Environment Management backupコマンドで作成したXMLファイルからアプリケーション・セキュリティ・ルールを復元できます。リストアプロセスでは、現在の構成セット内のルールが、バックアップ内のルールに置き換えられます。[セキュリティ] タブに切り替えたり、[ セキュリティ ] タブを更新すると、無効なアプリケーションセキュリティ規則が検出されます。無効なルールは自動的に削除され、レポートダイアログに表示されます。レポートダイアログはエクスポートできます。
リストアプロセス中に、現在の構成セット内のユーザーおよびユーザーグループにルール割り当てを復元するかどうかを選択できます。再割り当ては、バックアップされたユーザ/グループが現在の構成セット/アクティブディレクトリに存在する場合のみ成功します。一致しないルールは復元されますが、割り当てられていないままです。復元後、CSV 形式でエクスポートできるレポートダイアログに一覧表示されます。
1. リボンの [ 復元 ] をクリックして、復元ウィザードを起動します。
2. [セキュリティ設定] を選択し、[ 次へ ] を 2 回クリックします。
3.[フォルダから復元] で、バックアップファイルが保存されているフォルダーを参照します。
4.[AppLocker の規則の設定] を選択し、[次へ] をクリックします。
5. ルールの割り当てを復元するかどうかを確認します。
はい。規則を復元し、現在の構成セット内の同じユーザーとユーザーグループに再割り当てします。
いいえ。ルールを復元し、割り当てられていないままにします。
6. 復元を開始するには、[設定の復元] をクリックします。
プロセス管理
これらの設定では、特定のプロセスをホワイトリストまたはブラックリストに登録できます。
プロセス管理
プロセス管理を有効にする。これは、プロセスのホワイトリスト/ブラックリストが有効かどうかを切り替えます。無効にすると、「 ブラックリストを処理」タブと「ホワイトリストを処理** 」タブの設定は考慮されません。
注:
このオプションは、セッションエージェントがユーザーのセッションで実行されている場合にのみ機能します。これを行うには、 メイン構成エージェントの設定を使用して 、 ユーザー/セッションの種類に応じて起動するエージェントの起動オプション (**ログオン時/再接続時/管理者用)を設定し、 **エージェントの種類を 「UI」に設定します。これらのオプションについては、「 詳細設定」を参照してください。
ブラックリストの処理
これらの設定では、特定のプロセスをブラックリストに登録できます。
プロセスのブラックリストを有効にする。これにより、プロセスのブラックリストが有効になります。実行可能名 (cmd.exe など) を使用してプロセスを追加する必要があります。
ローカル管理者を除外する。プロセスのブラックリストからローカル管理者アカウントを除外します。
指定したグループを除外する。プロセスのブラックリストから特定のユーザーグループを除外できます。
プロセスのホワイトリスト
これらの設定では、特定のプロセスをホワイトリストに登録できます。プロセスのブラックリストとホワイトリストは、相互に排他的です。
プロセスのホワイトリストを有効にする。これにより、プロセスのホワイトリストが有効になります。実行可能名 (cmd.exe など) を使用してプロセスを追加する必要があります。注: 有効にすると、 [プロセスのホワイトリストを有効にする ] は、ホワイトリストにないすべてのプロセスを自動的にブラックリストに登録します。
ローカル管理者を除外する。プロセスのホワイトリストからローカル管理者アカウントを除外します (すべてのプロセスを実行できます)。
指定したグループを除外する。プロセスのホワイトリストから特定のユーザーグループを除外できます(すべてのプロセスを実行できます)。