Workspace Environment Management 2112

セキュリティ

これらの設定により、Workspace Environment Management 内のユーザー・アクティビティを制御できます。


アプリケーションのセキュリティ

重要:

ユーザーが実行できるアプリケーションを制御するには、Windows AppLocker インターフェイスまたはWorkspace Environment Management を使用して Windows AppLocker ルールを管理します。これらのアプローチはいつでも切り替えることができますが、両方のアプローチを同時に使用しないことをお勧めします。

これらの設定では、ルールを定義することで、ユーザーが実行できるアプリケーションを制御できます。この機能は Windows AppLocker に似ています。 Workspace Environment Management を使用して Windows AppLocker ルールを管理する場合、エージェントは、エージェントホストの [アプリケーションセキュリティ] タブのルールを Windows AppLocker ルールに処理 (変換) します。エージェント処理ルールを停止すると、これらのルールは構成セットに保持され、AppLocker は、エージェントによって処理された最後の命令セットを使用して実行を継続します。

アプリケーションのセキュリティ

このタブには、現在の Workspace Environment Management 構成セットのアプリケーションセキュリティルールが一覧表示されます。「検索」( Find ) を使用すると、テキスト文字列に基づいてリストをフィルタリングできます。

「セキュリティ」タブで最上位の項目「 アプリケーションセキュリティ 」を選択すると、次のオプションを使用してルール処理を有効または無効にすることができます。

  • アプリケーションセキュリティルールを処理する。選択すると、[ Application Security ]タブのコントロールが有効になり、エージェントは現在の構成セット内のルールを処理し、エージェント・ホスト上のAppLockerルールに変換されます。選択しない場合、[ アプリケーションセキュリティ ] タブのコントロールは無効になり、エージェントはルールを AppLocker ルールに処理しません。この場合、AppLocker の規則は更新されません。

    注:

    このオプションは、Workspace Environment Management 管理コンソールが Windows 7 SP1 または Windows Server 2008 R2 SP1 (またはそれ以前のバージョン) にインストールされている場合は使用できません。

  • DLL ルールを処理する。選択すると、エージェントは現在の構成セットの DLL ルールをエージェントホスト上の AppLocker DLL ルールで処理します。このオプションは、[ アプリケーションセキュリティルールの処理] を選択した場合にのみ使用できます。

    重要:

    DLL ルールを使用する場合は、許可されたすべてのアプリで使用される各 DLL に対して「許可」アクセス許可を持つ DLL ルールを作成する必要があります。

    注意:

    DLL ルールを使用すると、ユーザーのパフォーマンスが低下する可能性があります。これは、AppLocker が実行を許可される前に、アプリがロードする各 DLL をチェックするために発生します。

  • [ 上書き ] および [ マージ ] の設定では、エージェントがアプリケーションセキュリティルールを処理する方法を指定できます。

    • [上書き]。既存のルールを上書きできます。選択すると、最後に処理されたルールは、以前に処理されたルールを上書きします。このモードは、シングルセッションマシンにのみ適用することをお勧めします。
    • マージ。ルールを既存のルールとマージできます。競合が発生すると、最後に処理されたルールは、以前に処理されたルールを上書きします。マージ中にルール適用設定を変更する必要がある場合は、上書きモードを使用してください。マージモードでは古い値が異なっていても保持されるためです。

ルール・コレクション

ルールは AppLocker ルールコレクションに属します。各コレクション名は、(12) など、そのコレクションに含まれるルールの数を示します。コレクション名をクリックして、規則リストを次のいずれかのコレクションにフィルタします。

  • 実行可能なルール。アプリケーションに関連付けられている拡張子が.exe および .com のファイルを含むルール。
  • Windows の規則。クライアントコンピュータおよびサーバーへのファイルのインストールを制御するインストーラのファイル形式 (.msi、.msp、.mst) を含むルール。
  • スクリプトルール。.ps1、.bat、.cmd、.vbs、.js形式のファイルを含むルール
  • パッケージルール。パッケージアプリを含むルール。ユニバーサル Windows アプリとも呼ばれます。パッケージアプリでは、アプリパッケージ内のすべてのファイルが同じ ID を共有します。したがって、1 つのルールでアプリ全体を制御できます。Workspace Environment Management は、パッケージ化されたアプリケーションの発行元規則のみをサポートします。
  • DLLのルール。.dll、.ocx の形式のファイルを含むルール

ルール一覧をコレクションにフィルター処理する場合、 [ルールの適用] オプションを使用して、AppLocker がエージェントホスト上のコレクション内のすべてのルールを適用する方法を制御できます。次のルール適用値を使用できます。

オフ (デフォルト)。ルールが作成され、「オフ」に設定されます。つまり、ルールは適用されません。

オン。ルールが作成され、「強制」に設定されます。これは、エージェント・ホスト上でアクティブであることを意味します。

監査。ルールが作成され、「audit」に設定されます。これは、エージェントホスト上で非アクティブ状態にあることを意味します。ユーザーが AppLocker ルールに違反するアプリを実行すると、そのアプリの実行が許可され、アプリに関する情報が AppLocker イベントログに追加されます。

AppLocker ルールをインポートするには

AppLocker からエクスポートされたルールを [Workspace Environment Management] にインポートできます。インポートされた Windows AppLocker 設定は、[ セキュリティ ] タブの既存のルールに追加されます。無効なアプリケーションセキュリティルールは自動的に削除され、レポートダイアログに一覧表示されます。

  1. リボンで、[ AppLocker ルールのインポート] をクリックします。

  2. AppLocker からエクスポートされた XML ファイルを参照して、AppLocker ルールを含めます。

  3. [インポート] をクリックします。

ルールが [アプリケーションセキュリティのルール] リストに追加されます。

ルールを追加するには

  1. サイドバーでルールコレクション名を選択します。たとえば、実行可能ルールを追加するには、「実行可能ルール」コレクションを選択します。

  2. [ルールの追加] をクリックします。

  3. [ 表示] セクションで、次の詳細を入力します。

    • Name:ルールリストに表示されるルールの表示名。
    • [説明]。リソースに関する追加情報(オプション)。
  4. [ タイプ ] セクションで、次のオプションをクリックします。

    • パス。ルールはファイルパスまたはフォルダパスに一致します。
    • 発行元。ルールは、選択したパブリッシャと一致します。
    • ハッシュ。ルールは特定のハッシュコードに一致します。
  5. [ アクセス許可 ] セクションで、 **このルールでアプリケーションの実行を許可または拒否するかどうかをクリックします** 。

  6. このルールをユーザーまたはユーザーグループに割り当てるには、[ 割り当て ] ペインで、このルールを割り当てるユーザーまたはグループを選択します。[割り当て済み] 列には、割り当てられたユーザーまたはグループの [チェック] アイコンが表示されます。

    ヒント:

    • 通常の Windows の選択修飾キーを使用して複数の選択を行うか、 [すべて選択] を使用してすべての行を選択できます。
    • ユーザーは「Workspace Environment Management ユーザー」リストにすでに存在している必要があります。
    • ルールの作成後にルールを割り当てることができます。
  7. [次へ] をクリックします。

  8. 選択したルールタイプに応じて、ルールが一致する基準を指定します。

    • パス。ルールを照合するファイルパスまたはフォルダパスを指定します。フォルダを選択すると、ルールはそのフォルダ内および下のすべてのファイルに一致します。
    • 発行元。署名付きリファレンスファイルを指定し、[Publisher Info] スライダを使用してプロパティマッチングのレベルを調整します。
    • ハッシュ。ファイルを指定します。ルールはファイルのハッシュコードと一致します。
  9. [次へ] をクリックします。

  10. 必要な例外を追加します(オプション)。[例外の追加] で、例外タイプを選択し、[ 追加] をクリックします。(必要に応じて、 **例外を編集および削除できます** )。

  11. ルールを保存するには、[ Create] をクリックします。

ユーザーにルールを割り当てるには

リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディタで、ルールを割り当てるユーザーおよびユーザー・グループを含む行を選択し、 「OK」をクリックします。[すべて選択] を使用して、選択したルールをすべてのユーザーから割り当て解除することもできます。

:複数のルールを選択して「 編集」をクリックすると、それらのルールに対するルール割り当ての変更が、選択したすべてのユーザーおよびユーザー・グループに適用されます。つまり、既存のルールの割り当ては、それらのルール間でマージされます。

既定のルールを追加するには

[ 既定の規則の追加] をクリックします。AppLocker の既定のルールのセットがリストに追加されます。

ルールを編集するには

リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディタが表示され、選択した内容に適用される設定を調整できます。

ルールを削除するには

リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 削除 ] をクリックします。

アプリケーションセキュリティルールをバックアップするには

現在の構成セット内のすべてのアプリケーション・セキュリティ・ルールをバックアップできます。ルールはすべて単一の XML ファイルとしてエクスポートされます。[復元] を使用すると、規則を任意の構成セットに復元できます。 リボンで、[ バックアップ ] をクリックし、[ セキュリティ設定] を選択します。

アプリケーションセキュリティルールを復元するには

Workspace Environment Management backupコマンドで作成したXMLファイルからアプリケーション・セキュリティ・ルールを復元できます。リストアプロセスでは、現在の構成セット内のルールが、バックアップ内のルールに置き換えられます。[セキュリティ] タブに切り替えたり、[ セキュリティ ] タブを更新すると、無効なアプリケーションセキュリティ規則が検出されます。無効なルールは自動的に削除され、レポートダイアログに表示されます。レポートダイアログはエクスポートできます。

リストアプロセス中に、現在の構成セット内のユーザーおよびユーザーグループにルール割り当てを復元するかどうかを選択できます。再割り当ては、バックアップされたユーザ/グループが現在の構成セット/アクティブディレクトリに存在する場合のみ成功します。一致しないルールは復元されますが、割り当てられていないままです。復元後、CSV 形式でエクスポートできるレポートダイアログに一覧表示されます。

1. リボンの [ 復元 ] をクリックして、復元ウィザードを起動します。

2. [セキュリティ設定] を選択し、[ 次へ ] を 2 回クリックします。

3.[フォルダから復元] で、バックアップファイルが保存されているフォルダーを参照します。

4.[AppLocker の規則の設定] を選択し、[次へ] をクリックします。

5. ルールの割り当てを復元するかどうかを確認します。

はい。規則を復元し、現在の構成セット内の同じユーザーとユーザーグループに再割り当てします。

いいえ。ルールを復元し、割り当てられていないままにします。

6. 復元を開始するには、[設定の復元] をクリックします。


プロセス管理

これらの設定では、特定のプロセスをホワイトリストまたはブラックリストに登録できます。

プロセス管理

プロセス管理を有効にする。これは、プロセスのホワイトリスト/ブラックリストが有効かどうかを切り替えます。無効にすると、「 ブラックリストを処理」タブと「ホワイトリストを処理** 」タブの設定は考慮されません。

注:

このオプションは、セッションエージェントがユーザーのセッションで実行されている場合にのみ機能します。これを行うには、 メイン構成エージェントの設定を使用してユーザー/セッションの種類に応じて起動するエージェントの起動オプション**ログオン時/再接続時/管理者用)を設定し、 **エージェントの種類を 「UI」に設定します。これらのオプションについては、「 詳細設定」を参照してください。

ブラックリストの処理

これらの設定では、特定のプロセスをブラックリストに登録できます。

プロセスのブラックリストを有効にする。これにより、プロセスのブラックリストが有効になります。実行可能名 (cmd.exe など) を使用してプロセスを追加する必要があります。

ローカル管理者を除外する。プロセスのブラックリストからローカル管理者アカウントを除外します。

指定したグループを除外する。プロセスのブラックリストから特定のユーザーグループを除外できます。

プロセスのホワイトリスト

これらの設定では、特定のプロセスをホワイトリストに登録できます。プロセスのブラックリストとホワイトリストは、相互に排他的です。

プロセスのホワイトリストを有効にする。これにより、プロセスのホワイトリストが有効になります。実行可能名 (cmd.exe など) を使用してプロセスを追加する必要があります。注: 有効にすると、 [プロセスのホワイトリストを有効にする ] は、ホワイトリストにないすべてのプロセスを自動的にブラックリストに登録します。

ローカル管理者を除外する。プロセスのホワイトリストからローカル管理者アカウントを除外します (すべてのプロセスを実行できます)。

指定したグループを除外する。プロセスのホワイトリストから特定のユーザーグループを除外できます(すべてのプロセスを実行できます)。


権限昇格

注:

この機能はCitrix仮想アプリには適用されません。

特権昇格機能を使用すると、管理者以外のユーザーの権限を、一部の実行可能ファイルに必要な管理者レベルに昇格できます。その結果、ユーザーは Administrators グループのメンバーであるかのようにこれらの実行可能ファイルを起動できます。

権限昇格

[ セキュリティ ] で [ 権限の昇格] ウィンドウを選択すると、次のオプションが表示されます。

  • 特権昇格の設定を処理します。特権昇格機能を有効にするかどうかを制御します。選択すると、エージェントが特権昇格の設定を処理し、[ 権限の昇格 ] タブの他のオプションが使用可能になります。

  • Windows Server OS には適用しないでください。Windows Server オペレーティングシステムに特権の昇格設定を適用するかどうかを制御します。選択すると、ユーザーに割り当てられたルールは Windows Server マシンでは機能しません。デフォルトではこのオプションが選択されています。

  • RunasInvokerを強制する。現在の Windows アカウントですべての実行可能ファイルを強制的に実行するかどうかを制御します。選択すると、管理者として実行可能ファイルを実行するようユーザーに求められません。

このタブには、設定したルールの完全なリストも表示されます。[ 実行可能ルール ] または [ Windows インストーラー規則 ] をクリックして、ルール一覧を特定のルールタイプにフィルタリングします。[ 検索 ] を使用して、リストをフィルタできます。[ 割り当て済み ] 列には、割り当てられたユーザーまたはユーザーグループのチェックマークアイコンが表示されます。

サポートされているルール

実行可能ルールと Windows インストーラールの 2 種類のルールを使用して、特権の昇格を適用できます。

  • 実行可能なルール。アプリケーションに関連付けられた拡張子が.exe および .com のファイルを含むルール。

  • Windows インストーラー規則。アプリケーションに関連付けられたインストーラーファイル with.msi および.msp 拡張子を含むルール。Windows インストーラールールを追加するときは、次のシナリオに注意してください。

    • 権限昇格は、Microsoftの msiexec.exe にのみ適用されます。.msiおよび.msp Windowsインストーラーファイルの展開に使用するツールが msiexec.exe であることを確認します。
    • プロセスが指定された Windows インストーラー規則と一致し、その親プロセスが指定された実行可能規則と一致するとします。指定した実行可能ルールで[ 子プロセスに適用 ]設定を有効にしない限り、プロセスは昇格された権限を取得できません。

[ 実行可能ルール ] タブまたは [ Windows インストーラの規則 ] タブをクリックすると、[ アクション ] セクションに次のアクションが表示されます。

  • 編集。既存の実行可能ルールを編集できます。

  • [削除]。既存の実行可能ルールを削除できます。

  • ルールを追加します。実行可能なルールを追加できます。

ルールを追加するには

  1. [ 実行可能ルール ] または [ Windows インストーラの規則 ] に移動し、[ ルールの追加] をクリックします。[ ルールの追加 ] ウィンドウが表示されます。

  2. [ 表示] セクションで、次のように入力します。

    • Name:ルールの表示名を入力します。名前が [ルール] リストに表示されます。
    • [説明]。ルールに関する追加情報を入力します。
  3. [ タイプ ] セクションで、オプションを選択します。

    • パス。ルールはファイルパスに一致します。
    • 発行元。ルールは、選択したパブリッシャと一致します。
    • ハッシュ。ルールは特定のハッシュコードに一致します。
  4. [ 設定] セクションで、必要に応じて次のように構成します。

    • 子プロセスに適用。選択すると、実行ファイルが起動するすべての子プロセスにルールが適用されます。権限昇格をより詳細なレベルで管理するには、次のオプションを使用します。

      • 同じフォルダ内の実行可能ファイルにのみ適用します。選択すると、同じフォルダを共有する実行可能ファイルにのみルールが適用されます。
      • 署名付き実行可能ファイルにのみ適用します。選択すると、署名された実行可能ファイルにのみルールが適用されます。
      • 同じパブリッシャの実行可能ファイルにのみ適用します。選択した場合、同じパブリッシャ情報を共有する実行可能ファイルにのみルールを適用します。この設定は、ユニバーサル Windows プラットフォーム (UWP) アプリでは使用できません。

      注:

      Windows のインストールルールを追加すると、[ 子プロセスに適用 ] 設定がデフォルトで有効になり、編集できません。

    • [ 開始時刻]。エージェントがルールの適用を開始する時間を指定できます。時刻形式は HH: MM です。時刻は、エージェントのタイムゾーンに基づきます。

    • 終了時刻。エージェントがルールの適用を停止する時間を指定できます。時刻形式は HH: MM です。指定された時間以降、エージェントはルールを適用しなくなります。時刻は、エージェントのタイムゾーンに基づきます。

    • [パラメータを追加]。指定したパラメータに一致する実行可能ファイルに権限昇格を制限できます。パラメータは一致基準として機能します。指定したパラメータが正しいことを確認します。この機能の使用方法の例については、「 パラメータで実行される実行可能ファイル」を参照してください。このフィールドが空の場合、または空白のみが含まれている場合、エージェントはパラメータで実行されているかどうかにかかわらず、関連する実行可能ファイルに権限昇格を適用します。

    • 正規表現を有効にします。正規表現を使用して基準をさらに拡張するかどうかを制御できます。

  5. [ 割り当て ] セクションで、ルールを割り当てるユーザーまたはユーザーグループを選択します。すべてのユーザーおよびユーザー・グループにルールを割り当てる場合は、[Select All] を選択します

    ヒント:

    • 通常の Windows の選択修飾キーを使用して、複数の選択を行うことができます。
    • ユーザーまたはユーザーグループは、[ 管理] > [ユーザー ] タブに表示されるリストにすでに存在している必要があります。
    • ルールは、後で (ルールの作成後) に割り当てることができます。
  6. [次へ] をクリックします。

  7. 次のいずれかの操作を行います。前のページで選択したルールタイプに応じて、異なるアクションが必要になります。

    重要:

    WEM には AppinFoViewer という名前のツールが用意されており、実行ファイルから発行元、パス、ハッシュなどの情報を取得できます。このツールは、管理コンソールで設定するアプリケーションに関連する情報を提供したい場合に便利です。たとえば、このツールを使用して、アプリケーションのセキュリティ機能を使用するときに、アプリケーションから関連情報を抽出できます。このツールは、エージェントのインストールフォルダにあります。

    • パス。ルールを適用するファイルまたはフォルダのパスを入力します。WEM エージェントは、実行可能ファイルのパスに従って、 実行ファイルにルールを適用します。
    • 発行元。[ 発行元]、[ 製品名]、[ファイル名]、[ **ファイルバージョン**] の各フィールドに入力します。フィールドを空白のままにすることはできませんが、代わりにアスタリスク (*) を入力することはできます。WEM エージェントは、パブリッシャ情報に従ってルールを適用します。適用すると、ユーザーは同じ発行者情報を共有する実行可能ファイルを実行できます。
    • ハッシュ。[ 追加 ] をクリックして、ハッシュを追加します。[ ハッシュの追加 ] ウィンドウで、ファイル名とハッシュ値を入力します。AppinFoViewer ツールを使用して、選択したファイルまたはフォルダーからハッシュを作成できます。WEM エージェントは、指定した同じ実行可能ファイルにルールを適用します。その結果、ユーザーは、指定された実行可能ファイルと同じ実行可能ファイルを実行できます。
  8. [ Create ] をクリックしてルールを保存し、ウィンドウを終了します。

パラメータで実行されている実行可能ファイル

指定したパラメータに一致する実行可能ファイルに権限昇格を制限できます。パラメータは一致基準として機能します。実行可能ファイルで使用可能なパラメータを表示するには、プロセスエクスプローラーやプロセスモニターなどのツールを使用します。これらのツールに表示されるパラメータを適用します。

実行可能ファイルのパスに従って、実行ファイル (cmd.exe など) にルールを適用するとします。権限昇格をtest.batにのみ適用したい。プロセスエクスプローラを使用してパラメータを取得できます。

パラメータで実行される CMD

[パラメータを追加 ] フィールドに、次のように入力できます。

  • /c ""C:\test.bat""

次に、[ パス ] フィールドに次のように入力します。

  • C:\Windows\System32\cmd.exe

この場合、指定したユーザーの権限は、 test.bat の管理者レベルにのみ昇格します。

ユーザーにルールを割り当てるには

リストから 1 つまたは複数のルールを選択し、[ アクション ] セクションの [ 編集 ] をクリックします。「 ルールの編集 」ウィンドウで、ルールを割り当てるユーザーまたはユーザー・グループを選択し、 「OK」をクリックします。

ルールを削除するには

リストから 1 つまたは複数のルールを選択し、[ アクション ] セクションの [ 削除 ] をクリックします。

特権昇格ルールをバックアップするには

現在の構成セット内のすべての権限昇格ルールをバックアップできます。すべてのルールは、単一の XML ファイルとしてエクスポートされます。[復元] を使用すると、規則を任意の構成セットに復元できます。

バックアップを完了するには、リボンにある [ バックアップ ] ウィザードを使用します。 バックアップウィザードの使用方法の詳細については 、「 リボン」を参照してください。

特権昇格ルールを復元するには

Workspace Environment Management バックアップウィザードを使用してエクスポートされた XML ファイルから特権昇格ルールを復元できます。リストアプロセスでは、現在の構成セット内のルールが、バックアップ内のルールに置き換えられます。[ セキュリティ] > [権限の昇格 ] ペインに切り替えたり、更新すると、無効な権限昇格ルールが検出されます。無効なルールは自動的に削除され、エクスポートできるレポートに表示されます。 復元ウィザードの使用方法の詳細については 、「 リボン」を参照してください。

権限昇格アクティビティの監査

WEM では、特権の昇格に関連する監査アクティビティがサポートされています。監査を表示するには、[ 管理] > [ロギング] > [エージェント ] タブに移動します。このタブで、ログ設定を構成し、[ アクション ] フィールドで [ EXE 昇格制御] または [MSI 昇格制御 ] を選択し、[ フィルタの適用 ] をクリックしてログを特定のアクティビティに絞り込みます。権限昇格の全履歴を表示できます。

ユーザーアクティビティログ

セキュリティ