セキュリティ
これらの設定により、Workspace Environment Management 内のユーザー・アクティビティを制御できます。
アプリケーションのセキュリティ
重要:
ユーザーが実行できるアプリケーションを制御するには、Windows AppLocker インターフェイスまたはWorkspace Environment Management を使用します。これらのアプローチはいつでも切り替えることができますが、両方のアプローチを同時に使用しないことをお勧めします。
これらの設定では、ルールを定義することで、ユーザーの実行を許可するアプリケーションを制御できます。この機能は Windows AppLocker に似ています。
Workspace Environment Management を使用して Windows AppLocker ルールを管理する場合、エージェントは、エージェントホストの [アプリケーションセキュリティ] タブのルールを Windows AppLocker ルールに処理 (変換) します。エージェント処理ルールを停止すると、これらのルールは構成セットに保持され、AppLocker は、エージェントによって処理された最後の命令セットを使用して実行を継続します。
アプリケーションのセキュリティ
このタブには、現在の Workspace Environment Management 構成セットのアプリケーションセキュリティルールが一覧表示されます。「検索」( Find ) を使用すると、テキスト文字列に基づいてリストをフィルタリングできます。
「セキュリティ」タブで最上位の項目「 アプリケーションセキュリティ 」を選択すると、次のオプションを使用してルール処理を有効または無効にすることができます。
-
アプリケーションセキュリティルールを処理する。選択すると、[ Application Security ]タブのコントロールが有効になり、エージェントは現在の構成セット内のルールを処理し、エージェント・ホスト上のAppLockerルールに変換されます。選択しない場合、[ アプリケーションセキュリティ ] タブのコントロールは無効になり、エージェントはルールを AppLocker ルールに処理しません。この場合、AppLocker の規則は更新されません。
注記:
このオプションは、Workspace Environment Management 管理コンソールが Windows 7 SP1 または Windows Server 2008 R2 SP1 (またはそれ以前のバージョン) にインストールされている場合は使用できません。
-
DLL ルールを処理する。選択すると、エージェントは現在の構成セットの DLL ルールをエージェントホスト上の AppLocker DLL ルールで処理します。このオプションは、[ アプリケーションセキュリティルールの処理] を選択した場合にのみ使用できます。
重要:
DLL ルールを使用する場合は、許可されたすべてのアプリで使用される各 DLL に対して「許可」アクセス許可を持つ DLL ルールを作成する必要があります。
注意:
DLL ルールを使用すると、ユーザーのパフォーマンスが低下する可能性があります。これは、AppLocker が実行を許可される前に、アプリがロードする各 DLL をチェックするために発生します。
-
[ 上書き ] および [ マージ ] の設定では、エージェントがアプリケーションセキュリティルールを処理する方法を指定できます。
- 上書き。既存のルールを上書きできます。選択すると、最後に処理されたルールは、以前に処理されたルールを上書きします。このモードは、シングルセッションマシンにのみ適用することをお勧めします。
- マージ。ルールを既存のルールとマージできます。競合が発生すると、最後に処理されたルールは、以前に処理されたルールを上書きします。マージ中にルール適用設定を変更する必要がある場合は、上書きモードを使用してください。マージモードでは古い値が異なっていても保持されるためです。
ルール・コレクション
ルールは AppLocker ルールコレクションに属します。各コレクション名は、(12) など、そのコレクションに含まれるルールの数を示します。コレクション名をクリックして、規則リストを次のいずれかのコレクションにフィルタします。
- 実行可能なルール。アプリケーションに関連付けられている拡張子が.exe および .com のファイルを含むルール。
- Windows の規則。クライアントコンピュータおよびサーバーへのファイルのインストールを制御するインストーラのファイル形式 (.msi、.msp、.mst) を含むルール。
- スクリプトルール。.ps1、.bat、.cmd、.vbs、.js形式のファイルを含むルール
- パッケージルール。パッケージアプリを含むルール。ユニバーサル Windows アプリとも呼ばれます。パッケージアプリでは、アプリパッケージ内のすべてのファイルが同じ ID を共有します。したがって、1 つのルールでアプリ全体を制御できます。Workspace Environment Management は、パッケージ化されたアプリケーションの発行元規則のみをサポートします。
- DLLのルール。.dll、.ocx の形式のファイルを含むルール
ルール一覧をコレクションにフィルター処理する場合、 [ルールの適用] オプションを使用して、AppLocker がエージェントホスト上のコレクション内のすべてのルールを適用する方法を制御できます。次のルール適用値を使用できます。
オフ (デフォルト)。ルールが作成され、「オフ」に設定されます。つまり、ルールは適用されません。
オン。ルールが作成され、「強制」に設定されます。これは、エージェント・ホスト上でアクティブであることを意味します。
監査。ルールが作成され、「audit」に設定されます。これは、エージェントホスト上で非アクティブ状態にあることを意味します。ユーザーが AppLocker ルールに違反するアプリを実行すると、そのアプリの実行が許可され、アプリに関する情報が AppLocker イベントログに追加されます。
AppLocker ルールをインポートするには
AppLocker からエクスポートされたルールを [Workspace Environment Management] にインポートできます。インポートされた Windows AppLocker 設定は、[ セキュリティ ] タブの既存のルールに追加されます。無効なアプリケーションセキュリティルールは自動的に削除され、レポートダイアログに一覧表示されます。
-
リボンで、[ AppLocker ルールのインポート] をクリックします。
-
AppLocker からエクスポートされた XML ファイルを参照して、AppLocker ルールを含めます。
-
[インポート] をクリックします。
ルールが [アプリケーションセキュリティのルール] リストに追加されます。
ルールを追加するには
-
サイドバーでルールコレクション名を選択します。たとえば、実行可能ルールを追加するには、「実行可能ルール」コレクションを選択します。
-
[ルールの追加] をクリックします。
-
[ 表示] セクションで、次の詳細を入力します。
- Name:ルールリストに表示されるルールの表示名。
- 説明。リソースに関する追加情報(オプション)。
-
[ タイプ ] セクションで、次のオプションをクリックします。
- パス。ルールはファイルパスまたはフォルダパスに一致します。
- 発行元。ルールは、選択したパブリッシャと一致します。
- ハッシュ。ルールは特定のハッシュコードに一致します。
-
[ アクセス許可 ] セクションで、 **このルールでアプリケーションの実行を許可または拒否するかどうかをクリックします** 。
-
このルールをユーザーまたはユーザーグループに割り当てるには、[ 割り当て ] ペインで、このルールを割り当てるユーザーまたはグループを選択します。[割り当て済み] 列には、割り当てられたユーザーまたはグループの [チェック] アイコンが表示されます。
ヒント:
- 通常の Windows の選択修飾キーを使用して複数の選択を行うか、 [すべて選択] を使用してすべての行を選択できます。
- ユーザーは「Workspace Environment Management ユーザー」リストにすでに存在している必要があります。
- ルールの作成後にルールを割り当てることができます。
-
[次へ]をクリックします。
-
選択したルールタイプに応じて、ルールが一致する基準を指定します。
- パス。ルールを一致させるファイルパスまたはフォルダパスを指定します。フォルダを選択すると、ルールはそのフォルダ内および下のすべてのファイルに一致します。
- 発行元。ルールの参照として使用する署名付き参照ファイルを指定し、[公開者情報] スライダを使用してプロパティの一致レベルを調整します。
- ハッシュ。ハッシュを作成するファイルまたはフォルダを指定します。ルールはファイルのハッシュコードと一致します。
-
[次へ]をクリックします。
-
必要な例外を追加します(オプション)。[例外の追加] で、例外タイプを選択し、[ 追加] をクリックします。(必要に応じて、 **例外を編集および削除できます** )。
-
ルールを保存するには、[ Create] をクリックします。
ユーザーにルールを割り当てるには
リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディタで、ルールを割り当てるユーザーおよびユーザー・グループを含む行を選択し、 「OK」をクリックします。[すべて選択] を使用して、選択したルールをすべてのユーザーから割り当て解除することもできます。
注:複数のルールを選択して「 編集」をクリックすると、それらのルールに対するルール割り当ての変更が、選択したすべてのユーザーおよびユーザー・グループに適用されます。つまり、既存のルールの割り当ては、それらのルール間でマージされます。
既定のルールを追加するには
[ 既定の規則の追加] をクリックします。AppLocker の既定のルールのセットがリストに追加されます。
ルールを編集するには
リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディタが表示され、選択した内容に適用される設定を調整できます。
ルールを削除するには
リストから 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 削除 ] をクリックします。
アプリケーションセキュリティルールをバックアップするには
現在の構成セット内のすべてのアプリケーション・セキュリティ・ルールをバックアップできます。ルールはすべて単一の XML ファイルとしてエクスポートされます。[復元] を使用すると、規則を任意の構成セットに復元できます。 リボンで、[ バックアップ ] をクリックし、[ セキュリティ設定] を選択します。
アプリケーションセキュリティルールを復元するには
Workspace Environment Management backupコマンドで作成したXMLファイルからアプリケーション・セキュリティ・ルールを復元できます。リストアプロセスでは、現在の構成セット内のルールが、バックアップ内のルールに置き換えられます。[セキュリティ] タブに切り替えたり、[ セキュリティ ] タブを更新すると、無効なアプリケーションセキュリティ規則が検出されます。無効なルールは自動的に削除され、レポートダイアログに表示されます。レポートダイアログはエクスポートできます。
リストアプロセス中に、現在の構成セット内のユーザーおよびユーザーグループにルール割り当てを復元するかどうかを選択できます。再割り当ては、バックアップされたユーザ/グループが現在の構成セット/アクティブディレクトリに存在する場合のみ成功します。一致しないルールは復元されますが、割り当てられていないままです。復元後、CSV 形式でエクスポートできるレポートダイアログに一覧表示されます。
1. リボンの [ 復元 ] をクリックして、復元ウィザードを起動します。
2. [セキュリティ設定] を選択し、[ 次へ ] を 2 回クリックします。
3.[フォルダから復元] で、バックアップファイルが保存されているフォルダーを参照します。
4.[AppLocker の規則の設定] を選択し、[次へ] をクリックします。
5. ルールの割り当てを復元するかどうかを確認します。
はい。規則を復元し、現在の構成セット内の同じユーザーとユーザーグループに再割り当てします。
いいえ。ルールを復元し、割り当てられていないままにします。
6. 復元を開始するには、[設定の復元] をクリックします。
プロセス管理
これらの設定により、特定のプロセスを許可リストまたは禁止リストに追加できます。
プロセス管理
プロセス管理を有効にする。許可リストまたはブロックリストの処理を有効にするかどうかを切り替えます。無効にすると、「 ブラックリストを処理」タブと「ホワイトリストを処理** 」タブの設定は考慮されません。
注記:
このオプションは、セッションエージェントがユーザーのセッションで実行されている場合にのみ機能します。これを行うには、 メイン構成エージェントの設定を使用して 、 ユーザー/セッションの種類に応じて起動するエージェントの起動オプション (**ログオン時/再接続時/管理者用)を設定し、 **エージェントの種類を 「UI」に設定します。これらのオプションについては、「 詳細設定」を参照してください。
プロセスブロックリスト
これらの設定により、特定のプロセスを禁止リストに追加できます。
プロセスのブラックリストを有効にする。禁止リスト上のプロセスの処理を有効にします。実行可能名 (cmd.exe など) を使用してプロセスを追加する必要があります。
ローカル管理者を除外する。ローカル管理者アカウントを除外します。
指定したグループを除外する。特定のユーザーグループを除外できます。
プロセス許可リスト
これらの設定により、特定のプロセスを許可リストに追加できます。プロセスブロックリストとプロセス許可リストは相互に排他的です。
プロセスのホワイトリストを有効にする。許可リストにあるプロセスの処理を有効にします。実行可能名 (cmd.exe など) を使用してプロセスを追加する必要があります。注:[プロセスホワイトリストを有効にする] を有効にすると 、許可リストにないすべてのプロセスが自動的にブロックリストに追加されます。
ローカル管理者を除外する。ローカル管理者アカウントを除外します (すべてのプロセスを実行できます)。
指定したグループを除外する。特定のユーザーグループを除外できます (すべてのプロセスを実行できます)。
権限昇格
注記:
この機能はCitrix仮想アプリには適用されません。
特権昇格機能を使用すると、管理者以外のユーザーの権限を、一部の実行可能ファイルに必要な管理者レベルに昇格できます。その結果、ユーザーは Administrators グループのメンバーであるかのようにこれらの実行可能ファイルを起動できます。
権限昇格
[ セキュリティ ] で [ 権限の昇格] ウィンドウを選択すると、次のオプションが表示されます。
-
特権昇格の設定を処理します。特権昇格機能を有効にするかどうかを制御します。選択すると、エージェントが特権昇格の設定を処理し、[ 権限の昇格 ] タブの他のオプションが使用可能になります。
-
Windows Server OS には適用しないでください。Windows Server オペレーティングシステムに特権の昇格設定を適用するかどうかを制御します。選択すると、ユーザーに割り当てられたルールは Windows Server マシンでは機能しません。デフォルトではこのオプションが選択されています。
-
RunasInvokerを強制する。現在の Windows アカウントですべての実行可能ファイルを強制的に実行するかどうかを制御します。選択すると、管理者として実行可能ファイルを実行するようユーザーに求められません。
このタブには、設定したルールの完全なリストも表示されます。[ 実行可能ルール ] または [ Windows インストーラー規則 ] をクリックして、ルール一覧を特定のルールタイプにフィルタリングします。[ 検索 ] を使用して、リストをフィルタできます。[ 割り当て済み ] 列には、割り当てられたユーザーまたはユーザーグループのチェックマークアイコンが表示されます。
サポートされているルール
実行可能ルールと Windows インストーラールの 2 種類のルールを使用して、特権の昇格を適用できます。
-
実行可能なルール。アプリケーションに関連付けられた拡張子が.exe および .com のファイルを含むルール。
-
Windows インストーラー規則。アプリケーションに関連付けられたインストーラーファイル with.msi および.msp 拡張子を含むルール。Windows インストーラールールを追加するときは、次のシナリオに注意してください。
- 権限昇格は、Microsoftの msiexec.exe にのみ適用されます。
.msi
および.msp
Windowsインストーラーファイルの展開に使用するツールが msiexec.exe であることを確認します。 - プロセスが指定された Windows インストーラー規則と一致し、その親プロセスが指定された実行可能規則と一致するとします。指定した実行可能ルールで[ 子プロセスに適用 ]設定を有効にしない限り、プロセスは昇格された権限を取得できません。
- 権限昇格は、Microsoftの msiexec.exe にのみ適用されます。
[ 実行可能ルール ] タブまたは [ Windows インストーラの規則 ] タブをクリックすると、[ アクション ] セクションに次のアクションが表示されます。
-
編集。既存の実行可能ルールを編集できます。
-
[削除]。既存の実行可能ルールを削除できます。
-
ルールを追加します。実行可能なルールを追加できます。
ルールを追加するには
-
[ 実行可能ルール ] または [ Windows インストーラの規則 ] に移動し、[ ルールの追加] をクリックします。[ ルールの追加 ] ウィンドウが表示されます。
-
[ 表示] セクションで、次のように入力します。
- Name:ルールの表示名を入力します。名前が [ルール] リストに表示されます。
- 説明。ルールに関する追加情報を入力します。
-
[ タイプ ] セクションで、オプションを選択します。
- パス。ルールはファイルパスに一致します。
- 発行元。ルールは、選択したパブリッシャと一致します。
- ハッシュ。ルールは特定のハッシュコードに一致します。
-
[ 設定] セクションで、必要に応じて次のように構成します。
-
子プロセスに適用。選択すると、実行ファイルが起動するすべての子プロセスにルールが適用されます。権限昇格をより詳細なレベルで管理するには、次のオプションを使用します。
- 同じフォルダ内の実行可能ファイルにのみ適用します。選択すると、同じフォルダを共有する実行可能ファイルにのみルールが適用されます。
- 署名付き実行可能ファイルにのみ適用します。選択すると、署名された実行可能ファイルにのみルールが適用されます。
- 同じパブリッシャの実行可能ファイルにのみ適用します。選択した場合、同じパブリッシャ情報を共有する実行可能ファイルにのみルールを適用します。この設定は、ユニバーサル Windows プラットフォーム (UWP) アプリでは使用できません。
注記:
Windows のインストールルールを追加すると、[ 子プロセスに適用 ] 設定がデフォルトで有効になり、編集できません。
-
[ 開始時刻]。エージェントがルールの適用を開始する時間を指定できます。時刻形式は HH: MM です。時刻は、エージェントのタイムゾーンに基づきます。
-
終了時刻。エージェントがルールの適用を停止する時間を指定できます。時刻形式は HH: MM です。指定された時間以降、エージェントはルールを適用しなくなります。時刻は、エージェントのタイムゾーンに基づきます。
-
[パラメータを追加]。指定したパラメータに一致する実行可能ファイルに権限昇格を制限できます。パラメータは一致基準として機能します。指定したパラメータが正しいことを確認します。この機能の使用方法の例については、「 パラメータで実行される実行可能ファイル」を参照してください。このフィールドが空の場合、または空白のみが含まれている場合、エージェントはパラメータで実行されているかどうかにかかわらず、関連する実行可能ファイルに権限昇格を適用します。
-
正規表現を有効にします。正規表現を使用して基準をさらに拡張するかどうかを制御できます。
-
-
[ 割り当て ] セクションで、ルールを割り当てるユーザーまたはユーザーグループを選択します。すべてのユーザーおよびユーザー・グループにルールを割り当てる場合は、[Select All] を選択します。
ヒント:
- 通常の Windows の選択修飾キーを使用して、複数の選択を行うことができます。
- ユーザまたはユーザグループは、[ 管理] > [ユーザ ] タブに表示されるリストに既に存在している必要があります。
- ルールは、後で (ルールの作成後) に割り当てることができます。
-
[次へ]をクリックします。
-
次のいずれかの操作を行います。前のページで選択したルールタイプに応じて、異なるアクションが必要になります。
重要:
WEM には AppinFoViewer という名前のツールが用意されており、実行ファイルから発行元、パス、ハッシュなどの情報を取得できます。このツールは、管理コンソールで設定するアプリケーションに関連する情報を提供したい場合に便利です。たとえば、このツールを使用して、アプリケーションのセキュリティ機能を使用するときに、アプリケーションから関連情報を抽出できます。このツールは、エージェントのインストールフォルダにあります。
- パス。ルールを適用するファイルまたはフォルダのパスを入力します。WEM エージェントは、実行可能ファイルのパスに従って、 実行ファイルにルールを適用します。
- 発行元。[ 発行元]、[ 製品名]、[ファイル名]、[ **ファイルバージョン**] の各フィールドに入力します。フィールドを空白のままにすることはできませんが、代わりにアスタリスク (*) を入力することはできます。WEM エージェントは、パブリッシャ情報に従ってルールを適用します。適用すると、ユーザーは同じ発行者情報を共有する実行可能ファイルを実行できます。
- ハッシュ。[ 追加 ] をクリックして、ハッシュを追加します。[ ハッシュの追加 ] ウィンドウで、ファイル名とハッシュ値を入力します。AppinFoViewer ツールを使用して、選択したファイルまたはフォルダーからハッシュを作成できます。WEM エージェントは、指定した同じ実行可能ファイルにルールを適用します。その結果、ユーザーは、指定された実行可能ファイルと同じ実行可能ファイルを実行できます。
-
[ Create ] をクリックしてルールを保存し、ウィンドウを終了します。
パラメータで実行されている実行可能ファイル
指定したパラメータに一致する実行可能ファイルに権限昇格を制限できます。パラメータは一致基準として機能します。実行可能ファイルで使用可能なパラメータを表示するには、プロセスエクスプローラーやプロセスモニターなどのツールを使用します。これらのツールに表示されるパラメータを適用します。
実行可能ファイルのパスに従って、実行ファイル (cmd.exe など) にルールを適用するとします。権限昇格をtest.bat
にのみ適用したい。プロセスエクスプローラを使用してパラメータを取得できます。
[パラメータを追加 ] フィールドに、次のように入力できます。
/c ""C:\test.bat""
次に、[ パス ] フィールドに次のように入力します。
C:\Windows\System32\cmd.exe
この場合は、指定したユーザーの権限を、 test.bat
に対してのみ管理者レベルに昇格します。
ユーザーにルールを割り当てるには
リストから 1 つまたは複数のルールを選択し、[ アクション ] セクションの [ 編集 ] をクリックします。「 ルールの編集 」ウィンドウで、ルールを割り当てるユーザーまたはユーザー・グループを選択し、 「OK」をクリックします。
ルールを削除するには
リストから 1 つまたは複数のルールを選択し、[ アクション ] セクションの [ 削除 ] をクリックします。
特権昇格ルールをバックアップするには
現在の構成セット内のすべての権限昇格ルールをバックアップできます。すべてのルールは、単一の XML ファイルとしてエクスポートされます。[復元] を使用すると、規則を任意の構成セットに復元できます。
バックアップを完了するには、リボンにある [ バックアップ ] ウィザードを使用します。 バックアップウィザードの使用方法の詳細については 、「 リボン」を参照してください。
特権昇格ルールを復元するには
Workspace Environment Management バックアップウィザードを使用してエクスポートされた XML ファイルから特権昇格ルールを復元できます。リストアプロセスでは、現在の構成セット内のルールが、バックアップ内のルールに置き換えられます。[ セキュリティ] > [権限の昇格 ] ウィンドウに切り替えたり、更新すると、無効な特権昇格ルールが検出されます。無効なルールは自動的に削除され、エクスポートできるレポートに表示されます。 復元ウィザードの使用方法の詳細については 、「 リボン」を参照してください。
自己昇格
自己昇格を使用すると、事前に正確な実行可能ファイルを提供しなくても、特定のユーザーの権限昇格を自動化できます。これらのユーザーは、該当するファイルを右クリックして、コンテキストメニューで [ 管理者権限で実行する ] を選択するだけで、任意のファイルの自己昇格を要求できます。その後、昇格の理由を尋ねるプロンプトが表示されます。WEM エージェントは理由を検証しません。昇格の理由は、監査目的でデータベースに保存されます。条件が満たされると、昇格が適用され、ファイルは管理者権限で正常に実行されます。
また、この機能により、ニーズに最適なソリューションを柔軟に選択できます。ユーザーに自己昇格を許可するファイルの許可リストを作成したり、ユーザーが自己昇格できないようにするファイルの禁止リストを作成したりできます。
自己昇格は、.exe
、.msi
、.bat
、.cmd
、.ps1
および.vbs
の形式のファイルに適用されます 。
注記:
デフォルトでは、一部のファイルの実行には特定のアプリケーションが使用されます。たとえば、cmd.exe は.cmd ファイルの実行に使用され、powershell.exe は.ps1 ファイルの実行に使用されます。これらのシナリオでは、デフォルトの動作を変更できません。
[ セキュリティ] > [自己昇格] を選択すると、次のオプションが表示されます。
-
自己昇格を有効にします。自己昇格機能を有効にするかどうかを制御します。次のオプションを選択します。
- エージェントが自己昇格設定を処理できるようにします。
- [ 自己昇格 ] タブの他のオプションを使用可能にします。
- ユーザーがファイルを右クリックしたときに、コンテキストメニューで [管理者権限で実行する ] オプションを使用可能にします。その結果、ユーザーは [自己昇格]タブで指定した条件に一致するファイルの自己昇格を要求できます 。
-
権限。ユーザーに自己昇格を許可するファイルの許可リストを作成したり、ユーザーが自己昇格できないようにするファイルの禁止リストを作成できます。
- 許可。ユーザーに自己昇格を許可するファイルの許可リストを作成します。
- 拒否。ユーザーが自己昇格できないようにするファイルのブロックリストを作成します。
-
次の操作を実行できます。
- 編集。既存の条件を編集できます。
- [削除]。既存の条件を削除できます。
- 追加。条件を追加できます。パス、選択した発行元、または特定のハッシュコードに基づいて条件を作成できます。
-
設定。エージェントが自己昇格を適用する方法を制御する追加設定を構成できます。
- 子プロセスに適用。選択すると、ファイルが開始するすべての子プロセスに自己昇格条件を適用します。
- [ 開始時刻]。エージェントが自己昇格の条件を適用し始める時間を指定できます。時刻形式は HH: MM です。時刻は、エージェントのタイムゾーンに基づきます。
- 終了時刻。エージェントが自己昇格条件の適用を停止する時間を指定できます。時刻形式は HH: MM です。指定された時間以降、エージェントは条件を適用しなくなります。時刻は、エージェントのタイムゾーンに基づきます。
-
[割り当て]。自己昇格条件を該当するユーザーまたはユーザーグループに割り当てることができます。条件をすべてのユーザーおよびユーザーグループに割り当てるには、[ すべて選択] をクリックするか、[ **全員] を選択します。 **[すべて選択(Select All)] チェックボックスは、選択を解除してユーザとユーザグループを再選択する場合に便利です。
権限昇格アクティビティの監査
WEM では、特権の昇格に関連する監査アクティビティがサポートされています。詳細については、「 ユーザーアクティビティの監査」を参照してください。
プロセス階層制御
プロセス階層制御機能は、特定の子プロセスを親プロセスから親子シナリオで開始できるかどうかを制御します。ルールを作成するには、親プロセスを定義し、その子プロセスの許可リストまたは禁止リストを指定します。この機能を使用する前に、このセクション全体を確認してください。
注記:
- この機能はCitrix 仮想アプリにのみ適用されます。
ルールの仕組みを理解するには、次の点に注意してください。
-
プロセスには、1 つのルールだけが適用されます。同じプロセスに複数のルールを定義する場合は、優先度が最も高いルールのみが適用されます。
-
定義したルールは、元の親子階層だけに制限されるのではなく、その階層の各レベルにも適用されます。親プロセスに適用可能なルールは、ルールの優先順位に関係なく、子プロセスに適用されるルールよりも優先されます。たとえば、次の 2 つのルールを定義します。
- ルール 1: CMD を開くことができません。
- ルール2:メモ帳はCMDを開くことができます。
2 つのルールでは、ルールの優先順位に関係なく、最初に Word を開き、Word からメモ帳を開くことによって、メモ帳から CMD を開くことはできません。
この機能は、特定のプロセスベースの親子関係に基づいて動作します。シナリオで親子関係を視覚化するには、プロセスエクスプローラーツールのプロセスツリー機能を使用します。プロセスエクスプローラの詳細については、https://docs.microsoft.com/en-us/sysinternals/downloads/procmonを参照してください。
潜在的な問題を回避するために、Citrix Studioで VUEMAppCmd.exe を指す実行可能ファイルのパスを追加することをお勧めします。VUEMAppCmd.exe は、公開アプリケーションが起動する前に WEM エージェントが設定の処理を終了することを保証します。Citrix Studioで、次の手順を完了します。
-
[ アプリケーション] で、アプリケーションを選択し、操作ウィンドウで [ プロパティ ] をクリックして、[ 場所 ] ページに移動します。
-
エンドユーザーオペレーティングシステム上のローカルアプリケーションのパスを入力します。
- [ 実行可能ファイルへのパス ]フィールドに、<%Programfiles%>\ Citrix\ Workspace Environment Management エージェント\ VUEMAppCmd.exe を入力します。
-
コマンドライン引数を入力して、開くアプリケーションを指定します。
- [ コマンドライン引数 ] フィールドに、 VUEMAppCmd.exeを使用して起動するアプリケーションへのフルパスを入力します。パスに空白が含まれている場合は、アプリケーションのコマンドラインを二重引用符で囲むようにしてください。
- たとえば、 VUEMAppCmd.exeから iexplore.exe を起動したいとします。これを行うには、次のように入力します。
%ProgramFiles(x86)%\"Internet Explorer"\iexplore.exe
。
注意事項
機能を機能させるには、各エージェントマシンで AppInfoViewer ツールを使用して機能を有効にする必要があります。(このツールは、エージェントのインストールフォルダにあります。)このツールを使用して機能を有効または無効にするたびに、マシンを再起動する必要があります。この機能を有効にすると、エージェントをアップグレードまたはアンインストールした後、エージェントマシンを再起動する必要があります。
プロセス階層制御機能が有効になっていることを確認するには、 エージェントマシンでレジストリエディタを開きます 。次のレジストリエントリが存在する場合、この機能が有効になります。
- 32ビットOS
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
- 64ビットOS
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_Dlls\WEM Hook
前提条件
この機能を使用するには、次の前提条件が満たされていることを確認してください。
- Citrix 仮想アプリケーションの展開。
- エージェントは、Windows 10またはWindows Server 上で実行されています。
- インプレースアップグレードまたは新規インストール後に、エージェントホストが再起動されました。
プロセス階層制御
「 セキュリティ 」で「 プロセス階層制御」を選択すると、次のオプションが表示されます。
-
プロセス階層制御を使用可能にします。プロセス階層制御機能を有効にするかどうかを制御します。選択すると、「 プロセス階層制御」(Process Hierarchy Control ) タブの他のオプションが使用可能になり、そこで構成された設定が有効になります。この機能は、Citrix 仮想アプリケーションの展開でのみ使用できます 。
-
コンテキストメニューから [プログラムから開く] を非表示にします。Windows の右クリックメニューから [ プログラムから開く ] オプションを表示または非表示にするかどうかを制御します。有効にすると、メニューオプションはインターフェイスに表示されません。無効にすると、オプションが表示され、ユーザーはこれを使用してプロセスを開始できます。プロセス階層制御機能は、「 プログラムから開く 」オプションを使用して開始されたプロセスには適用されません。現在のアプリケーション階層とは無関係なシステムサービスを通じてアプリケーションがプロセスを開始しないようにするには、この設定を有効にすることをお勧めします。
「 プロセス階層制御 」(Process Hierarchy Control) タブには、構成したルールの完全なリストも表示されます。[ 検索 ] を使用して、リストをフィルタできます。[ 割り当て済み ] 列には、割り当てられたユーザーまたはユーザーグループのチェックマークアイコンが表示されます。
「 アクション 」セクションには、次のアクションが表示されます。
- 編集。ルールを編集できます。
- [削除]。ルールを削除できます。
- ルールを追加します。ルールを追加できます。
ルールを追加するには
-
「 プロセス階層制御 」に移動し、「 ルールの追加」をクリックします。[ ルールの追加 ] ウィンドウが表示されます。
-
[ 表示] セクションで、次のように入力します。
- Name:ルールの表示名を入力します。名前が [ルール] リストに表示されます。
- 説明。ルールに関する追加情報を入力します。
-
[ タイプ ] セクションで、オプションを選択します。
- パス。ルールはファイルパスに一致します。
- 発行元。ルールは、選択したパブリッシャと一致します。
- ハッシュ。ルールは特定のハッシュコードに一致します。
-
[ モード ] セクションで、次のいずれかのオプションを選択します。
- ブロックリストに子プロセスを追加。選択すると、親プロセスの規則を構成した後、適用可能な子プロセスのブロックリストを定義できます。ブロックリストでは、指定したプロセスの実行のみが禁止され、他のプロセスの実行が許可されます。
- 許可リストに子プロセスを追加します。選択すると、親プロセスのルールを構成した後、適用可能な子プロセスの許可リストを定義できます。許可リストでは、指定したプロセスの実行のみが許可され、他のプロセスの実行が禁止されます。
注記:
プロセスには、1 つのルールだけが適用されます。同じプロセスに複数のルールを定義すると、ルールは優先順位に従って適用されます。
-
[ 優先度 ] セクションで、ルールの優先度を設定します。優先度を設定するときは、次の点を考慮してください。優先度によって、設定したルールが処理される順序が決まります。値が大きいほど、優先順位が高くなります。整数を入力します。競合がある場合は、優先度の高いルールが優先されます。
-
[ 割り当て ] セクションで、ルールを割り当てるユーザーまたはユーザーグループを選択します。すべてのユーザーおよびユーザー・グループにルールを割り当てる場合は、[Select All] を選択します。
注記:
- 通常の Windows 選択キーを使用して、複数の選択を行うことができます。
- ユーザまたはユーザグループは、[ 管理] > [ユーザ ] タブに表示されるリストに既に存在している必要があります。
- ルールは、後で (ルールの作成後) に割り当てることができます。
-
[次へ]をクリックします。
-
親プロセスのルールを構成するには、次のいずれかの操作を行います。前のページで選択したルールタイプに応じて、必要なアクションが異なります。
- パス。ルールを一致させるファイルパスまたはフォルダパスを指定します。フォルダパスを指定すると、ルールはそのフォルダ内のすべてのファイルとサブフォルダに適用されます。WEM エージェントは、実行可能ファイルのパスに従って実行可能ファイルにルールを適用します。パスの一致を示すためにアスタリスク (*) のみを入力することはお勧めしません。これを行うと、意図しないパフォーマンスの問題が発生する可能性があります。
- 発行元。ルールの参照として使用する署名付き参照ファイルを指定します。[Publisher Info] スライダを使用して、プロパティの一致レベルを調整します。スライダーを上または下に移動して、ルールの具体性を下げたり下げたりします。スライダーを [任意の発行者] の位置に移動すると、ルールはすべての署名済みファイルに適用されます。WEM エージェントは、発行元情報に従って、親プロセスにルールを適用します。適用すると、ユーザーは同じ発行者情報を共有する実行可能ファイルを実行できます。必要に応じて、[ カスタム値を使用して情報をカスタマイズする ] を選択できます。
- ハッシュ。ハッシュを作成するファイルまたはフォルダを指定します。ルールはファイルのハッシュコードと一致します。WEM エージェントは、指定した同じ実行可能ファイルにルールを適用します。その結果、ユーザーは、指定された実行可能ファイルと同じ実行可能ファイルを実行できます。
-
[ 次へ ] をクリックして、子プロセス設定を構成します。
-
適用可能な子プロセスの許可リストまたはブロックリストを定義するには、次のいずれかの操作を行います。
- メニューからルールタイプを選択し、[ 追加] をクリックします。[ 子プロセス ] ウィンドウが表示されます。
- [ 子プロセス ] ウィンドウで、必要に応じて設定を構成します。「 子プロセス 」(Child Process) ウィンドウのユーザー・インタフェースは、選択した規則タイプによって異なります。子プロセスでは、 パス、 発行元、 およびハッシュの規則の種類を使用できます。
- 「OK」をクリックして「ルールの追加 」ウィンドウに戻ります。子プロセスを追加するか、[ Create ] をクリックしてルールを保存してウィンドウを終了できます。
ユーザーにルールを割り当てるには
一覧から 1 つのルールを選択し、[ アクション ] セクションの [ 編集 ] をクリックします。「 ルールの編集 」ウィンドウで、ルールを割り当てるユーザーまたはユーザー・グループを選択し、 「OK」をクリックします。
ルールを削除するには
リストから 1 つまたは複数のルールを選択し、[ アクション ] セクションの [ 削除 ] をクリックします。
ルールをバックアップするには
現在の構成セット内のすべてのプロセス階層制御ルールをバックアップできます。すべてのルールは、単一の XML ファイルとしてエクスポートされます。[復元] を使用すると、規則を任意の構成セットに復元できます。
バックアップを完了するには、リボンにある [ バックアップ ] ウィザードを使用します。 バックアップウィザードの使用方法の詳細については 、「 リボン」を参照してください。
ルールを復元するには
[Workspace Environment Management] バックアップウィザードを使用してエクスポートされた XML ファイルからプロセス階層制御ルールを復元できます。リストアプロセスでは、現在の構成セット内のルールが、バックアップ内のルールに置き換えられます。[ セキュリティ] > [プロセス階層コントロール ] ペインに切り替えたり、更新したりすると、無効なルールはすべて削除され、エクスポート可能なレポートに一覧表示されます。 復元ウィザードの使用方法の詳細については 、「 リボン」を参照してください。
プロセス階層制御アクティビティの監査
WEM では、プロセス階層制御に関連する監査アクティビティがサポートされています。詳細については、「 ユーザーアクティビティの監査」を参照してください。
ユーザー・アクティビティの監査
WEM では、権限昇格およびプロセス階層制御に関連する監査アクティビティがサポートされています。監査を表示するには、[ 管理] > [ログ] > [エージェント ] タブに移動します。タブで、ログ設定を構成し、[ アクション] フィールドで [ ElevationControl]、[ **自己昇格 ]、または ProcessHierarchyControl** を選択し、[ フィルターの適用 ] をクリックしてログを特定のアクティビティに絞り込みます。特権の昇格またはプロセス階層制御の履歴全体を表示できます。