Workspace Environment Management

セキュリティ

これらの設定により、Workspace Environment Management (WEM) 内のユーザーアクティビティを制御できます。


アプリケーションのセキュリティ

重要:

ユーザーが実行できるアプリケーションを制御するには、Windows AppLocker インターフェイスまたは WEM を使用して Windows AppLocker ルールを管理します。これらのアプローチはいつでも切り替えることができます。両方のアプローチを同時に使用しないことをお勧めします。

これらの設定では、ルールを定義することで、ユーザーが実行を許可するアプリケーションを制御できます。この機能は Windows AppLocker に似ています。WEM を使用して Windows AppLocker ルールを管理すると、エージェントは、エージェントホストの [ アプリケーションセキュリティ ] タブの規則を Windows AppLocker ルールに変換します。エージェント処理ルールを停止すると、これらのルールは構成セットに保持されます。AppLocker は、エージェントによって処理された最後の命令セットを使用して実行を継続します。

アプリケーションのセキュリティ

このタブには、現在の WEM 構成セットのアプリケーションセキュリティルールが一覧表示されます。[ 検索 ] を使用すると、文字列に従ってリストをフィルタできます。

[セキュリティ] タブで最上位の項目「 アプリケーションセキュリティ 」を選択すると、次のオプションが使用可能になります。

  • アプリケーションセキュリティルールを処理する。選択すると、[ Application Security ]タブのコントロールが有効になり、エージェントは現在の構成セット内のルールを処理し、エージェント・ホスト上のAppLockerルールに変換されます。選択しない場合、[ アプリケーションセキュリティ ] タブのコントロールは無効になり、エージェントはルールを AppLocker ルールに変換しません。この場合、AppLocker ルールは更新されません。

    注:

    このオプションは、WEM 管理コンソールが Windows 7 SP1 または Windows Server 2008 R2 SP1 (またはそれ以前のバージョン) にインストールされている場合は、使用できません。

  • DLL ルールを処理する。選択すると、エージェントは、現在の構成セットの DLL ルールを、エージェントホスト上の AppLocker DLL ルールに変換します。このオプションは、「 アプリケーション・セキュリティ・ルールの処理」を選択した場合にのみ使用できます。

    重要:

    DLL ルールを使用する場合は、許可されたすべてのアプリで使用される各 DLL に対して「許可」アクセス許可を持つ DLL ルールを作成する必要があります。

    注意:

    DLL ルールを使用すると、ユーザーのパフォーマンスが低下する可能性があります。この問題は、AppLocker がアプリの実行を許可する前に、アプリを読み込む各 DLL をチェックするために発生します。

  • [ 上書き ] および [ マージ ] の設定では、エージェントがアプリケーションセキュリティルールを処理する方法を指定できます。

    • [上書き]。既存のルールを上書きできます。選択すると、最後に処理されたルールは、以前に処理されたルールを上書きします。このモードは、シングルセッションマシンにのみ適用することをお勧めします。
    • マージ。ルールを既存のルールとマージできます。競合が発生すると、最後に処理されたルールは、以前に処理されたルールを上書きします。マージ中にルール適用設定を変更する必要がある場合は、上書きモードを使用してください。マージモードでは古い値が異なっていても保持されるためです。

ルール・コレクション

ルールは AppLocker ルールコレクションに属します。各コレクション名は、(12) など、そのコレクションに含まれるルールの数を示します。コレクション名をクリックして、規則リストを次のいずれかのコレクションにフィルタします。

  • 実行可能なルール。アプリケーションに関連付けられている拡張子が.exe および .com のファイルを含むルール。
  • Windows の規則。クライアントコンピューターおよびサーバーへのファイルのインストールを制御するインストーラファイル形式 (.msi、.msp、.mst) を含む規則。
  • スクリプトルール。.ps1、.bat、.cmd、.vbs、.js の形式のファイルを含むルール
  • パッケージルール。パッケージアプリを含むルール。ユニバーサル Windows アプリとも呼ばれます。パッケージアプリでは、アプリパッケージ内のすべてのファイルが同じ ID を共有します。したがって、1 つのルールでアプリ全体を制御できます。WEM は、パッケージアプリの公開者ルールのみをサポートします。
  • DLLのルール。次の形式のファイルを含むルール:.dll、.ocx。

ルール一覧をコレクションにフィルター処理する場合、 [ルールの適用] オプションを使用して、AppLocker がエージェントホスト上のコレクション内のすべてのルールを適用する方法を制御できます。次のルール適用値を使用できます。

オフ (デフォルト)。ルールが作成され、「オフ」に設定されます。つまり、ルールは適用されません。

オン。ルールが作成され、「強制」に設定されます。これは、エージェント・ホスト上でアクティブであることを意味します。

監査。ルールが作成され、「監査」に設定されます。つまり、エージェント・ホスト上で非アクティブ状態になります。ユーザーが AppLocker ルールに違反するアプリを実行すると、そのアプリの実行が許可され、アプリに関する情報が AppLocker イベントログに追加されます。

AppLocker ルールをインポートするには

AppLocker からエクスポートされたルールを [Workspace Environment Management] にインポートできます。インポートされた Windows AppLocker 設定は、[ セキュリティ ] タブの既存のルールに追加されます。無効なアプリケーションセキュリティルールは自動的に削除され、レポートダイアログに一覧表示されます。

  1. リボンで、[ AppLocker ルールのインポート] をクリックします。

  2. AppLocker からエクスポートされた XML ファイルを参照して、AppLocker ルールを含めます。

  3. [インポート] をクリックします。

ルールが [アプリケーションセキュリティのルール] リストに追加されます。

ルールを追加するには

  1. サイドバーでルールコレクション名を選択します。たとえば、実行可能ルールを追加するには、「実行可能ルール」コレクションを選択します。

  2. [ルールの追加] をクリックします。

  3. [ 表示] セクションで、次の詳細を入力します。

    • Name:ルールリストに表示されるルールの表示名。

    • [説明]。リソースに関する追加情報(オプション)。

  4. [ タイプ ] セクションで、次のいずれかのオプションを選択します。

    • パス。ルールはファイルパスに一致します。

    • 発行元。ルールは、選択したパブリッシャと一致します。

    • ハッシュ。ルールは特定のハッシュコードに一致します。

  5. [ アクセス許可 ] セクションで、[ 許可 ] または [ 拒否] を選択します。選択項目では、アプリケーションの実行を許可するか禁止するかを制御します。

  6. このルールをユーザーまたはユーザーグループに割り当てるには、[ 割り当て ] ウィンドウで、このルールを割り当てるユーザーまたはグループを選択します。[割り当て済み] 列には、割り当てられたユーザーまたはグループの [チェック] アイコンが表示されます。

    ヒント:

    • 通常の Windows の選択修飾キーを使用して複数の選択を行うか、 [すべて選択] を使用してすべての行を選択できます。
    • ユーザーは、すでに WEM ユーザーリストに登録されている必要があります。
    • ルールの作成後にルールを割り当てることができます。
  7. [次へ] をクリックします。

  8. 選択したルールタイプに応じて、ルールが一致する基準を指定します。

    • パス。ルールを適用するファイルまたはフォルダのパスを入力します。WEM エージェントは、実行可能ファイルのパスに従って実行可能ファイルにルールを適用します。

    • 発行元。[ 発行元]、[ 製品名]、[ファイル名]、[ **ファイルバージョン*] の各フィールドに入力します。フィールドを空白のままにすることはできませんが、代わりにアスタリスク () を入力することはできます。WEM エージェントは、パブリッシャ情報に従ってルールを適用します。適用すると、ユーザーは同じ発行者情報を共有する実行可能ファイルを実行できます。

    • ハッシュ。[ 追加 ] をクリックして、ハッシュを追加します。[ ハッシュの追加 ] ウィンドウで、ファイル名とハッシュ値を入力します。AppinFoViewer ツールを使用して、選択したファイルまたはフォルダーからハッシュを作成できます。WEM エージェントは、指定した同じ実行可能ファイルにルールを適用します。その結果、ユーザーは、指定された実行可能ファイルと同じ実行可能ファイルを実行できます。

  9. [次へ] をクリックします。

  10. 必要な例外を追加します(オプション)。[ 例外の追加] で、例外の種類を選択し、[ 追加] をクリックします。(必要に応じて例外を編集または削除できます)。

  11. ルールを保存するには、[ Create] をクリックします。

ユーザーにルールを割り当てるには

一覧から 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディタで、ルールを割り当てるユーザーおよびユーザー・グループを含む行を選択し、 「OK」をクリックします。[すべて選択] を使用して、選択したルールをすべてのユーザーから割り当て解除することもできます。

注意: 複数のルールを選択して編集をクリックすると、選択したすべてのユーザーおよびユーザー・グループに、これらのルールの割り当ての変更が適用されます。つまり、既存のルールの割り当ては、それらのルール間でマージされます。

既定のルールを追加するには

[ 既定の規則の追加] をクリックします。AppLocker の既定のルールのセットがリストに追加されます。

ルールを編集するには

一覧から 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 編集 ] をクリックします。エディタが表示され、選択内容に適用する設定を調整できます。

ルールを削除するには

一覧から 1 つまたは複数のルールを選択し、ツールバーまたはコンテキストメニューの [ 削除 ] をクリックします。

アプリケーションセキュリティルールをバックアップするには

現在の構成セット内のすべてのアプリケーション・セキュリティ・ルールをバックアップできます。ルールはすべて単一の XML ファイルとしてエクスポートされます。[復元] を使用すると、規則を任意の構成セットに復元できます。 リボンで、[ バックアップ ] をクリックし、[ セキュリティ設定] を選択します。

アプリケーションセキュリティルールを復元するには

Workspace Environment Management backupコマンドで作成したXMLファイルからアプリケーション・セキュリティ・ルールを復元できます。リストアプロセスでは、現在の構成セット内のルールが、バックアップ内のルールに置き換えられます。[セキュリティ] タブに切り替えたり、[ セキュリティ ] タブを更新すると、無効なアプリケーションセキュリティ規則が検出されます。無効なルールは自動的に削除され、レポートダイアログに表示されます。レポートダイアログはエクスポートできます。

リストアプロセス中に、現在の構成セット内のユーザーおよびユーザーグループにルール割り当てを復元するかどうかを選択できます。再割り当ては、バックアップされたユーザ/グループが現在の構成セット/アクティブディレクトリに存在する場合のみ成功します。一致しないルールは復元されますが、割り当てられていないままです。復元後、CSV 形式でエクスポートできるレポートダイアログに一覧表示されます。

  1. リボンの [ 復元 ] をクリックして、復元ウィザードを起動します。

  2. [セキュリティ設定] を選択し、[ 次へ ] を 2 回クリックします。

  3. [フォルダから復元] で、バックアップファイルが保存されているフォルダーを参照します。

  4. [AppLocker の規則の設定] を選択し、[次へ] をクリックします。

  5. ルールの割り当てを復元するかどうかを確認します。

    • はい。ルールをリストアし、現在の構成セット内の同じユーザーおよびユーザー・グループに再割り当てします。

    • いいえ。ルールを復元し、割り当てを解除します。

  6. 復元を開始するには、[設定の復元] をクリックします。


プロセス管理

これらの設定では、特定のプロセスをホワイトリストに登録またはブラックリストに登録できます。

プロセス管理

プロセス管理を有効にする。このオプションは、プロセスのホワイトリストとブラックリストを有効にするかどうかを切り替えます。無効にすると、[ ブラックリストを処理] タブと [ **ホワイトリストを処理** ] タブの設定はいずれも有効になりません。

注:

このオプションは、エージェントがユーザーのセッションで実行されている場合にのみ機能します。セッションでエージェントを実行できるようにするには、[ 詳細設定] > [構成] > [メイン構成 ] タブを使用して、[ エージェントの起動 ] オプション ([ログオン ]/[ 再接続 ]/[ 管理者向け]) を有効にし、[ エージェントタイプ ] を [ UI] に設定します。これらのオプションについては、「 詳細設定」を参照してください。

ブラックリストを処理する

これらの設定では、特定のプロセスをブラックリストに登録できます。

プロセスのブラックリストを有効にする。このオプションは、プロセスのブラックリストを有効にします。実行可能名 (cmd.exe など) を使用してプロセスを追加します。

ローカル管理者を除外する。プロセスのブラックリストからローカル管理者アカウントを除外します。

指定したグループを除外する。プロセスブラックリストから特定のユーザーグループを除外できます。

ホワイトリストを処理する

これらの設定では、特定のプロセスをホワイトリストに登録できます。プロセスのブラックリストとホワイトリストは、相互に排他的です。

プロセスのホワイトリストを有効にする。このオプションにより、プロセスのホワイトリストが有効になります。実行可能名 (cmd.exe など) を使用してプロセスを追加します。

注:

有効にすると、 [プロセスのホワイトリストを有効にする ] は、ホワイトリストにないすべてのプロセスを自動的にブラックリストにします。

ローカル管理者を除外する。プロセスホワイトリストからローカル管理者アカウントを除外します(すべてのプロセスを実行できます)。

指定したグループを除外する。プロセスホワイトリストから特定のユーザーグループを除外できます(すべてのプロセスを実行できます)。


権限昇格

注:

この機能はCitrix仮想アプリには適用されません。

特権昇格機能を使用すると、管理者以外のユーザーの権限を、一部の実行可能ファイルに必要な管理者レベルに昇格できます。その結果、ユーザーは Administrators グループのメンバーであるかのようにこれらの実行可能ファイルを起動できます。

権限昇格

[ セキュリティ ] で [ 権限の昇格] ウィンドウを選択すると、次のオプションが表示されます。

  • 特権昇格の設定を処理します。特権昇格機能を有効にするかどうかを制御します。選択すると、エージェントが特権昇格の設定を処理し、[ 権限の昇格 ] タブの他のオプションが使用可能になります。

  • Windows Server OS には適用しないでください。Windows Server オペレーティングシステムに特権の昇格設定を適用するかどうかを制御します。選択すると、ユーザーに割り当てられたルールは Windows Server マシンでは機能しません。デフォルトではこのオプションが選択されています。

  • RunasInvokerを強制する。現在の Windows アカウントですべての実行可能ファイルを強制的に実行するかどうかを制御します。選択すると、管理者として実行可能ファイルを実行するようユーザーに求められません。

このタブには、設定したルールの完全なリストも表示されます。[ 実行可能ルール ] または [ Windows インストーラー規則 ] をクリックして、ルール一覧を特定のルールタイプにフィルタリングします。[ 検索 ] を使用して、リストをフィルタできます。[ 割り当て済み ] 列には、割り当てられたユーザーまたはユーザーグループのチェックマークアイコンが表示されます。

サポートされているルール

実行可能ルールと Windows インストーラールの 2 種類のルールを使用して、特権の昇格を設定できます。

  • 実行可能なルール。アプリケーションに関連付けられた拡張子が.exe および .com のファイルを含むルール。

  • Windows インストーラー規則。アプリケーションに関連付けられたインストーラーファイル with.msi および.msp 拡張子を含むルール。Windows インストーラールールを追加するときは、次のシナリオに注意してください。

    • 権限昇格は、Microsoftの msiexec.exe にのみ適用されます。.msiおよび.msp Windowsインストーラーファイルの展開に使用するツールが msiexec.exe であることを確認します。
    • プロセスが指定された Windows インストーラー規則と一致し、その親プロセスが指定された実行可能規則と一致するとします。指定した実行可能ルールで[ 子プロセスに適用 ]設定を有効にしない限り、プロセスは昇格された権限を取得できません。

[ 実行可能ルール ] タブまたは [ Windows インストーラの規則 ] タブをクリックすると、[ アクション ] セクションに次のアクションが表示されます。

  • 編集。既存の実行可能ルールを編集できます。

  • [削除]。既存の実行可能ルールを削除できます。

  • ルールを追加します。実行可能なルールを追加できます。

ルールを追加するには

  1. [ 実行可能ルール ] または [ Windows インストーラの規則 ] に移動し、[ ルールの追加] をクリックします。[ ルールの追加 ] ウィンドウが表示されます。

  2. [ 表示] セクションで、次のように入力します。

    • Name:ルールの表示名を入力します。名前が [ルール] リストに表示されます。
    • [説明]。ルールに関する追加情報を入力します。
  3. [ タイプ ] セクションで、オプションを選択します。

    • パス。ルールはファイルパスに一致します。
    • 発行元。ルールは、選択したパブリッシャと一致します。
    • ハッシュ。ルールは特定のハッシュコードに一致します。
  4. [ 設定] セクションで、必要に応じて次のように構成します。

    • 子プロセスに適用。選択すると、実行ファイルが起動するすべての子プロセスにルールが適用されます。権限昇格をより詳細なレベルで管理するには、次のオプションを使用します。

      • 同じフォルダ内の実行可能ファイルにのみ適用します。選択すると、同じフォルダを共有する実行可能ファイルにのみルールが適用されます。
      • 署名付き実行可能ファイルにのみ適用します。選択すると、署名された実行可能ファイルにのみルールが適用されます。
      • 同じパブリッシャの実行可能ファイルにのみ適用します。選択した場合、同じパブリッシャ情報を共有する実行可能ファイルにのみルールを適用します。この設定は、ユニバーサル Windows プラットフォーム (UWP) アプリでは使用できません。

      注:

      Windows のインストールルールを追加すると、[ 子プロセスに適用 ] 設定がデフォルトで有効になり、編集できません。

    • [ 開始時刻]。エージェントがルールの適用を開始する時間を指定できます。時刻形式は HH: MM です。時刻は、エージェントのタイムゾーンに基づきます。

    • 終了時刻。エージェントがルールの適用を停止する時間を指定できます。時刻形式は HH: MM です。指定された時間以降、エージェントはルールを適用しなくなります。時刻は、エージェントのタイムゾーンに基づきます。

    • [パラメータを追加]。指定したパラメータに一致する実行可能ファイルに権限昇格を制限できます。パラメータは一致基準として機能します。指定したパラメータが正しいことを確認します。この機能の使用方法の例については、「 パラメータで実行される実行可能ファイル」を参照してください。このフィールドが空の場合、または空白のみが含まれている場合、エージェントはパラメータで実行されているかどうかにかかわらず、関連する実行可能ファイルに権限昇格を適用します。

    • 正規表現を有効にします。正規表現を使用して基準をさらに拡張するかどうかを制御できます。

  5. [ 割り当て ] セクションで、ルールを割り当てるユーザーまたはユーザーグループを選択します。すべてのユーザーおよびユーザー・グループにルールを割り当てる場合は、[Select All] を選択します

    ヒント:

    • 通常の Windows の選択修飾キーを使用して、複数の選択を行うことができます。
    • ユーザーまたはユーザーグループは、[ 管理] > [ユーザー ] タブに表示されるリストにすでに存在している必要があります。
    • ルールは、後で (ルールの作成後) に割り当てることができます。
  6. [次へ] をクリックします。

  7. 次のいずれかの操作を行います。前のページで選択したルールタイプに応じて、異なるアクションが必要になります。

    重要:

    WEM には AppinFoViewer という名前のツールが用意されており、実行ファイルから発行元、パス、ハッシュなどの情報を取得できます。詳細については、「 実行可能ファイルの情報を取得するためのツール」を参照してください。

    • パス。ルールを適用するファイルまたはフォルダのパスを入力します。WEM エージェントは、実行可能ファイルのパスに従って、 実行ファイルにルールを適用します。
    • 発行元。[ 発行元]、[ 製品名]、[ファイル名]、[ **ファイルバージョン**] の各フィールドに入力します。フィールドを空白のままにすることはできませんが、代わりにアスタリスク (*) を入力することはできます。WEM エージェントは、パブリッシャ情報に従ってルールを適用します。適用すると、ユーザーは同じ発行者情報を共有する実行可能ファイルを実行できます。
    • ハッシュ。[ 追加 ] をクリックして、ハッシュを追加します。[ ハッシュの追加 ] ウィンドウで、ファイル名とハッシュ値を入力します。AppinFoViewer ツールを使用して、選択したファイルまたはフォルダーからハッシュを作成できます。WEM エージェントは、指定した同じ実行可能ファイルにルールを適用します。その結果、ユーザーは、指定された実行可能ファイルと同じ実行可能ファイルを実行できます。
  8. [ Create ] をクリックしてルールを保存し、ウィンドウを終了します。

パラメータで実行されている実行可能ファイル

指定したパラメータに一致する実行可能ファイルに権限昇格を制限できます。パラメータは一致基準として機能します。実行可能ファイルで使用可能なパラメータを表示するには、プロセスエクスプローラーやプロセスモニターなどのツールを使用します。これらのツールに表示されるパラメータを適用します。

実行可能ファイルのパスに従って、実行ファイル (cmd.exe など) にルールを適用するとします。権限昇格をtest.batにのみ適用したい。プロセスエクスプローラを使用してパラメータを取得できます。

パラメータで実行される CMD

[パラメータを追加 ] フィールドに、次のように入力できます。

  • /c ""C:\test.bat""

次に、[ パス ] フィールドに次のように入力します。

  • C:\Windows\System32\cmd.exe

この場合、指定したユーザーの権限は、 test.bat の管理者レベルにのみ昇格します。

ユーザーにルールを割り当てるには

リストから 1 つまたは複数のルールを選択し、[ アクション ] セクションの [ 編集 ] をクリックします。「 ルールの編集 」ウィンドウで、ルールを割り当てるユーザーまたはユーザー・グループを選択し、 「OK」をクリックします。

ルールを削除するには

リストから 1 つまたは複数のルールを選択し、[ アクション ] セクションの [ 削除 ] をクリックします。

特権昇格ルールをバックアップするには

現在の構成セット内のすべての権限昇格ルールをバックアップできます。すべてのルールは、単一の XML ファイルとしてエクスポートされます。[復元] を使用すると、規則を任意の構成セットに復元できます。

バックアップを完了するには、リボンにある [ バックアップ ] ウィザードを使用します。 バックアップウィザードの使用方法の詳細については 、「 リボン」を参照してください。

特権昇格ルールを復元するには

Workspace Environment Management バックアップウィザードを使用してエクスポートされた XML ファイルから特権昇格ルールを復元できます。リストアプロセスでは、現在の構成セット内のルールが、バックアップ内のルールに置き換えられます。[ セキュリティ] > [権限の昇格 ] ペインに切り替えたり、更新すると、無効な権限昇格ルールが検出されます。無効なルールは自動的に削除され、エクスポートできるレポートに表示されます。 復元ウィザードの使用方法の詳細については 、「 リボン」を参照してください。

自己昇格

自己昇格を使用すると、事前に正確な実行可能ファイルを提供しなくても、特定のユーザーの権限昇格を自動化できます。これらのユーザーは、該当するファイルを右クリックして、コンテキストメニューで [ 管理者権限で実行する ] を選択するだけで、任意のファイルの自己昇格を要求できます。その後、昇格の理由を尋ねるプロンプトが表示されます。WEM エージェントは理由を検証しません。昇格の理由は、監査目的でデータベースに保存されます。条件が満たされると、昇格が適用され、ファイルは管理者権限で正常に実行されます。

また、この機能により、ニーズに最適なソリューションを柔軟に選択できます。ユーザーに自己昇格を許可するファイルの許可リストを作成したり、ユーザーが自己昇格できないようにするファイルの禁止リストを作成できます。

自己昇格は、.exe.msi.bat.cmd.ps1および.vbsの形式のファイルに適用されます 。

注:

デフォルトでは、一部のファイルの実行には特定のアプリケーションが使用されます。たとえば、cmd.exe は.cmd ファイルの実行に使用され、powershell.exe は.ps1 ファイルの実行に使用されます。これらのシナリオでは、デフォルトの動作を変更できません。

[ セキュリティ] > [自己昇格] を選択すると、次のオプションが表示されます。

  • 自己昇格を有効にします。自己昇格機能を有効にするかどうかを制御します。次のオプションを選択します。

    • エージェントが自己昇格設定を処理できるようにします。
    • [ 自己昇格 ] タブの他のオプションを使用可能にします。
    • ユーザーがファイルを右クリックしたときに、コンテキストメニューで [管理者権限で実行する ] オプションを使用可能にします。その結果、ユーザーは [自己昇格]タブで指定した条件に一致するファイルの自己昇格を要求できます
  • 権限。ユーザーに自己昇格を許可するファイルの許可リストを作成したり、ユーザーが自己昇格できないようにするファイルの禁止リストを作成できます。

    • 許可。ユーザーに自己昇格を許可するファイルの許可リストを作成します。
    • 拒否。ユーザーが自己昇格できないようにするファイルのブロックリストを作成します。
  • 次の操作を実行できます。

    • 編集。既存の条件を編集できます。
    • [削除]。既存の条件を削除できます。
    • [追加]。条件を追加できます。パス、選択した発行元、または特定のハッシュコードに基づいて条件を作成できます。
  • 設定。エージェントが自己昇格を適用する方法を制御する追加設定を構成できます。

    • 子プロセスに適用。選択すると、ファイルが開始するすべての子プロセスに自己昇格条件を適用します。
    • [ 開始時刻]。エージェントが自己昇格の条件を適用し始める時間を指定できます。時刻形式は HH: MM です。時刻は、エージェントのタイムゾーンに基づきます。
    • 終了時刻。エージェントが自己昇格条件の適用を停止する時間を指定できます。時刻形式は HH: MM です。指定された時間以降、エージェントは条件を適用しなくなります。時刻は、エージェントのタイムゾーンに基づきます。
  • [割り当て]。自己昇格条件を該当するユーザーまたはユーザーグループに割り当てることができます。条件をすべてのユーザーおよびユーザーグループに割り当てるには、[ すべて選択] をクリックするか、[ **全員] を選択します。 **[すべて選択(Select All)] チェックボックスは、選択を解除してユーザとユーザグループを再選択する場合に便利です。

権限昇格アクティビティの監査

WEM では、特権の昇格に関連する監査アクティビティがサポートされています。詳細については、「 ユーザーアクティビティの監査」を参照してください。


プロセス階層制御

プロセス階層制御機能は、特定の子プロセスを親プロセスから親子シナリオで開始できるかどうかを制御します。ルールを作成するには、親プロセスを定義し、その子プロセスの許可リストまたは禁止リストを指定します。この機能を使用する前に、このセクション全体を確認してください。

注:

  • この機能はCitrix 仮想アプリにのみ適用されます。

ルールの仕組みを理解するには、次の点に注意してください。

  • プロセスには、1 つのルールだけが適用されます。同じプロセスに複数のルールを定義する場合は、優先度が最も高いルールのみが適用されます。

  • 定義したルールは、元の親子階層だけに制限されるのではなく、その階層の各レベルにも適用されます。親プロセスに適用可能なルールは、ルールの優先順位に関係なく、子プロセスに適用されるルールよりも優先されます。たとえば、次の 2 つのルールを定義します。

    • ルール 1: CMD を開くことができません。
    • ルール2:メモ帳はCMDを開くことができます。

    2 つのルールでは、ルールの優先順位に関係なく、最初に Word を開き、Word からメモ帳を開くことによって、メモ帳から CMD を開くことはできません。

この機能は、特定のプロセスベースの親子関係に基づいて動作します。シナリオで親子関係を視覚化するには、プロセスエクスプローラーツールのプロセスツリー機能を使用します。プロセスエクスプローラの詳細については、https://docs.microsoft.com/en-us/sysinternals/downloads/procmonを参照してください。

潜在的な問題を回避するために、完全な構成管理インターフェイスの VUEMAppCmd.exe を指す実行可能ファイルのパスを追加することをお勧めします。VUEMAppCmd.exe は、公開アプリケーションが起動する前に WEM エージェントが設定の処理を終了することを保証します。次の手順を実行します:

  1. [ アプリケーション ] ノードでアプリケーションを選択し、アクションバーの [ プロパティ ] をクリックして、[ 場所 ] ページに移動します。

    [完全構成] の [アプリケーションの設定] ページ

  2. エンドユーザーオペレーティングシステム上のローカルアプリケーションのパスを入力します。

    • [ 実行可能ファイルへのパス ] フィールドに次のように入力します。<%programFiles%>\ Citrix\ Workspace Environment Management エージェント\ VUEMAppCmd.exe。
  3. コマンドライン引数を入力して、開くアプリケーションを指定します。

    • [ コマンドライン引数 ] フィールドに、 VUEMAppCmd.exeを使用して起動するアプリケーションへのフルパスを入力します。パスに空白が含まれている場合は、アプリケーションのコマンドラインを二重引用符で囲むようにしてください。
    • たとえば、 VUEMAppCmd.exeから iexplore.exe を起動したいとします。これを行うには、次のように入力します。%ProgramFiles(x86)%\"Internet Explorer"\iexplore.exe

注意事項

機能を機能させるには、各エージェントマシンで AppInfoViewer ツールを使用して機能を有効にする必要があります。このツールを使用して機能を有効または無効にするたびに、マシンの再起動が必要です。この機能を有効にした場合は、次の考慮事項に注意してください。

  • エージェントをアップグレードまたはアンインストールした後、エージェントマシンを再起動する必要があります。

    注:

    2103.2.0.1 または2104.1.0.1**からアップグレードまたはアンインストールする場合、再起動のプロンプトは表示されません。

  • エージェントの自動アップグレード機能は、エージェントバージョン 2105.1.0.1 以降では機能しません。自動エージェントアップグレード機能を使用するには、 AppInfoViewer ツールを使用して、まずプロセス階層制御機能を無効にします。

  • 2103.2.0.1 または2104.1.0.1**からアップグレードする場合は、エージェントの自動アップグレードが完了した後にエージェントマシンを再起動する必要があります。

プロセス階層制御機能が有効になっていることを確認するには、 エージェントマシンでレジストリエディタを開きます 。次のレジストリエントリが存在する場合、この機能が有効になります。

  • 32ビットOS
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
  • 64ビットOS
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_Dlls\WEM Hook

重要:

エージェントのバージョン2103.2.0.1 および 2104.1.0.1 では、プロセス階層制御機能が自動的に有効になる場合があります。プロセス階層制御機能が有効になっていることを確認するには、 エージェントマシンでレジストリエディタを開きます 。この機能が有効になっている場合は、エージェントのアップグレードまたはアンインストール後に、エージェントマシンを手動で再起動する必要があります。

前提条件

この機能を使用するには、次の前提条件が満たされていることを確認してください。

  • Citrix 仮想アプリケーションの展開。
  • エージェントは、Windows 10またはWindows Server 上で実行されています。
  • インプレースアップグレードまたは新規インストール後に、エージェントホストが再起動されました。

プロセス階層制御

セキュリティ 」で「 プロセス階層制御」を選択すると、次のオプションが表示されます。

  • プロセス階層制御を使用可能にします。プロセス階層制御機能を有効にするかどうかを制御します。選択すると、「 プロセス階層制御」(Process Hierarchy Control ) タブの他のオプションが使用可能になり、そこで構成された設定が有効になります。この機能は、Citrix 仮想アプリケーションの展開でのみ使用できます

  • コンテキストメニューから [プログラムから開く] を非表示にします。Windows の右クリックメニューから [ プログラムから開く ] オプションを表示または非表示にするかどうかを制御します。有効にすると、メニューオプションはインターフェイスに表示されません。無効にすると、オプションが表示され、ユーザーはこれを使用してプロセスを開始できます。プロセス階層制御機能は、「 プログラムから開く 」オプションを使用して開始されたプロセスには適用されません。現在のアプリケーション階層とは無関係なシステムサービスを通じてアプリケーションがプロセスを開始しないようにするには、この設定を有効にすることをお勧めします。

プロセス階層制御 」(Process Hierarchy Control) タブには、構成したルールの完全なリストも表示されます。[ 検索 ] を使用して、リストをフィルタできます。[ 割り当て済み ] 列には、割り当てられたユーザーまたはユーザーグループのチェックマークアイコンが表示されます。

アクション 」セクションには、次のアクションが表示されます。

  • 編集。ルールを編集できます。
  • [削除]。ルールを削除できます。
  • ルールを追加します。ルールを追加できます。

ルールを追加するには

  1. プロセス階層制御 」に移動し、「 ルールの追加」をクリックします。[ ルールの追加 ] ウィンドウが表示されます。

  2. [ 表示] セクションで、次のように入力します。

    • Name:ルールの表示名を入力します。名前が [ルール] リストに表示されます。
    • [説明]。ルールに関する追加情報を入力します。
  3. [ タイプ ] セクションで、オプションを選択します。

    • パス。ルールはファイルパスに一致します。
    • 発行元。ルールは、選択したパブリッシャと一致します。
    • ハッシュ。ルールは特定のハッシュコードに一致します。
  4. [ モード ] セクションで、次のいずれかのオプションを選択します。

    • ブロックリストに子プロセスを追加。選択すると、親プロセスの規則を構成した後、適用可能な子プロセスのブロックリストを定義できます。ブロックリストでは、指定したプロセスの実行のみが禁止され、他のプロセスの実行が許可されます。
    • 許可リストに子プロセスを追加します。選択すると、親プロセスのルールを構成した後、適用可能な子プロセスの許可リストを定義できます。許可リストでは、指定したプロセスの実行のみが許可され、他のプロセスの実行が禁止されます。

    注:

    プロセスには、1 つのルールだけが適用されます。同じプロセスに複数のルールを定義すると、ルールは優先順位に従って適用されます。

  5. [ 優先度 ] セクションで、ルールの優先度を設定します。優先度を設定するときは、次の点を考慮してください。優先度によって、設定したルールが処理される順序が決まります。値が大きいほど、優先順位が高くなります。整数を入力します。競合がある場合は、優先度の高いルールが優先されます。

  6. [ 割り当て ] セクションで、ルールを割り当てるユーザーまたはユーザーグループを選択します。すべてのユーザーおよびユーザー・グループにルールを割り当てる場合は、[Select All] を選択します

    注:

    • 通常の Windows 選択キーを使用して、複数の選択を行うことができます。
    • ユーザーまたはユーザーグループは、[ 管理] > [ユーザー ] タブに表示されるリストにすでに存在している必要があります。
    • ルールは、後で (ルールの作成後) に割り当てることができます。
  7. [次へ] をクリックします。

  8. 親プロセスのルールを構成するには、次のいずれかの操作を行います。前のページで選択したルールタイプに応じて、異なるアクションが必要になります。

    重要:

    WEM には AppinFoViewer という名前のツールが用意されており、実行ファイルから発行元、パス、ハッシュなどの情報を取得できます。詳細については、「 実行可能ファイルの情報を取得するためのツール」を参照してください。

    • パス。親プロセスのルールを適用するファイルまたはフォルダーへのパスを入力します。WEM エージェントは、実行可能ファイルのパスに従って実行可能ファイルにルールを適用します。このフィールドにアスタリスク(*)だけを入力して、パスの一致を示すことはお勧めしません。これを行うと、意図しないパフォーマンスの問題が発生する可能性があります。
    • 発行元。[ 発行元]、[ 製品名]、[ファイル名]、[ **ファイルバージョン**] の各フィールドに入力します。フィールドを空白のままにすることはできませんが、代わりにアスタリスク (*) を入力することはできます。WEM エージェントは、発行元情報に従って、親プロセスにルールを適用します。適用すると、ユーザーは同じ発行者情報を共有する実行可能ファイルを実行できます。

    • ハッシュ。[ 追加 ] をクリックして、ハッシュを追加します。[ ハッシュの追加 ] ウィンドウで、ファイル名とハッシュ値を入力します。AppinFoViewer ツールを使用して、選択したファイルまたはフォルダーからハッシュを作成できます。WEM エージェントは、指定した同じ実行可能ファイルにルールを適用します。その結果、ユーザーは、指定された実行可能ファイルと同じ実行可能ファイルを実行できます。
  9. [ 次へ ] をクリックして、子プロセス設定を構成します。

  10. 適用可能な子プロセスの許可リストまたはブロックリストを定義するには、次のいずれかの操作を行います。

    1. メニューからルールタイプを選択し、[ 追加] をクリックします。[ 子プロセス ] ウィンドウが表示されます。
    2. [ 子プロセス ] ウィンドウで、必要に応じて設定を構成します。「 子プロセス 」(Child Process) ウィンドウのユーザー・インタフェースは、選択した規則タイプによって異なります。子プロセスでは、 パス発行元およびハッシュの規則の種類を使用できます
    3. 「OK」をクリックして「ルールの追加 」ウィンドウに戻ります。子プロセスを追加するか、[ Create ] をクリックしてルールを保存してウィンドウを終了できます。

ユーザーにルールを割り当てるには

一覧から 1 つのルールを選択し、[ アクション ] セクションの [ 編集 ] をクリックします。「 ルールの編集 」ウィンドウで、ルールを割り当てるユーザーまたはユーザー・グループを選択し、 「OK」をクリックします。

ルールを削除するには

リストから 1 つまたは複数のルールを選択し、[ アクション ] セクションの [ 削除 ] をクリックします。

ルールをバックアップするには

現在の構成セット内のすべてのプロセス階層制御ルールをバックアップできます。すべてのルールは、単一の XML ファイルとしてエクスポートされます。[復元] を使用すると、規則を任意の構成セットに復元できます。

バックアップを完了するには、リボンにある [ バックアップ ] ウィザードを使用します。 バックアップウィザードの使用方法の詳細については 、「 リボン」を参照してください。

ルールを復元するには

[Workspace Environment Management] バックアップウィザードを使用してエクスポートされた XML ファイルからプロセス階層制御ルールを復元できます。リストアプロセスでは、現在の構成セット内のルールが、バックアップ内のルールに置き換えられます。[ セキュリティ] > [プロセス階層コントロール ] ペインに切り替えたり、更新したりすると、無効なルールはすべて削除され、エクスポート可能なレポートに一覧表示されます。 復元ウィザードの使用方法の詳細については 、「 リボン」を参照してください。

プロセス階層制御アクティビティの監査

WEM では、プロセス階層制御に関連する監査アクティビティがサポートされています。詳細については、「 ユーザーアクティビティの監査」を参照してください。


ユーザー・アクティビティの監査

WEM では、権限昇格およびプロセス階層制御に関連する監査アクティビティがサポートされています。監査を表示するには、[ 管理] > [ロギング] > [エージェント ] タブに移動します。タブで、ログ設定を構成し、[ アクション] フィールドで [ ElevationControl]、[ **自己昇格 ]、または ProcessHierarchyControl** を選択し、[ フィルターの適用 ] をクリックしてログを特定のアクティビティに絞り込みます。特権の昇格またはプロセス階層制御の履歴全体を表示できます。

ユーザーアクティビティログ


追加情報

プロセス階層制御の構成方法の例については、「 プロセス階層制御を使用したCitrix Workspace 環境の保護」を参照してください。

セキュリティ