Kaspersky Security for Windows Server

アプリケーション起動コントロールルールの追加

アプリケーション起動コントロールルールを追加するには：

1. ［アプリケーション起動コントロールルール］ウィンドウを開きます。
2. ［追加］をクリックします。
3. ボタンのコンテキストメニューで、［1 つのルールを追加］を選択します。

   ［ルール設定］ウィンドウが開きます。

4. 次の設定を指定します：
   1. ［名前］で、ルールの名前を入力します。
   2. ［種別］ドロップダウンリストで、ルールの種別を選択します：
      • 許可：ルール設定で指定された基準に従って、ルールがアプリケーションの起動を許可します。
      • 拒否：ルール設定で指定された基準に従って、ルールがアプリケーションの起動をブロックします。
   3. ［範囲］ドロップダウンリストで、起動がルールによって制御されるファイルの種別を選択します：
      • 実行ファイル：ルールによって実行ファイルの起動が制御されます。
      • スクリプトと MSI パッケージ：ルールによってスクリプトと MSI パッケージの起動が制御されます。
   4. ［ユーザーまたはユーザーグループ］で、ルールの種別に従って、プログラムの起動が許可されるユーザーまたは許可されないユーザーを指定します。それには、次の操作を実行します：
      1. ［参照］をクリックします。
      2. Microsoft Windows 標準の［ユーザーまたはグループの選択］ウィンドウが開きます。
      3. ユーザーまたはユーザーグループのリストを指定します。
      4. ［OK］をクリックします。
   5. ［ルール有効化の条件］セクションにリストされたルール有効化の条件の値を、特定のファイルから取得する場合：
      1. ［ファイルのプロパティからルール有効化の条件を設定］をクリックします。

         Microsoft Windows 標準の［ファイルを開く］ウィンドウが表示されます。

      2. ファイルを選択します。
      3. ［開く］をクリックします。

         ファイルの基準の値が［ルール有効化の条件］セクションのフィールドに表示されます。ファイルのプロパティで指定できるデータの基準が既定で選択されています。

   6. ［ルール有効化の条件］セクションで、次のいずれかを選択します：
      • デジタル証明書：デジタル証明書で署名されたファイルを使用して起動されるアプリケーションの開始が、ルールによって制御されます：
        • 指定したヘッダーを持つデジタル証明書を使用して署名されたファイルの起動のみを、ルールの制御対象にする場合は、［発行先を使用］をオンにします。
        • 指定したサムプリントを持つデジタル証明書を使用して署名されたファイルの起動のみを、ルールの制御対象にする場合は、［サムプリントを使用］をオンにします。
      • SHA256 ハッシュ：チェックサムが指定されたものと一致するファイルを使用して起動されるプログラムの開始が、ルールによって制御されます。
      • ファイルのパス：指定されたパスにあるファイルを使用して起動されるプログラムの開始が、ルールによって制御されます。

        Kaspersky Security for Windows Server は、スラッシュ「/」を含むパスを認識しません。パスを正しく入力するには、円記号「\」を使用してください。

        オブジェクトを指定する時は、ファイルマスク（?、* を使用）と次の環境変数が使用できます：％WINDIR％、％SYSTEM32％、％OSDRIVE％、％PROGRAMFILES％。

   7. ルールの除外対象を追加するには：
      1. ［ルールから除外］セクションで、［追加］をクリックします。

         ［ルールから除外］ウィンドウが開きます。

      2. ［名前］で、除外の名前を入力します。
      3. アプリケーション起動コントロールルールからアプリケーションのファイルを除外する設定を指定します。［ファイルのプロパティに基づいて除外を設定］をクリックして、ファイルのプロパティから設定フィールドに入力できます。
         • デジタル証明書

           

           このオプションをオンにすると、アプリケーション起動コントロールに対して新しく生成された許可ルールの設定で、デジタル証明書の存在がルール有効化の条件として指定されます。デジタル証明書が指定されたファイルを使用して起動されるプログラムの開始が許可されます。オペレーティングシステムで信頼されているすべてのアプリケーションの起動を許可する場合は、このオプションをオンにしてください。

           既定では、このオプションはオンです。

         • 発行先を使用

           

           ルール有効化の条件として、デジタル証明書の発行先の使用を有効または無効にします。

           このチェックボックスをオンにすると、デジタル証明書の指定された発行先が、ルール有効化の条件として使用されます。作成したルールでは、発行先として指定された製造元のアプリケーションに対してのみ起動が制御されます。

           このチェックボックスをオフにすると、ルール有効化の条件にデジタル署名の発行先は使用されません。［デジタル証明書］の基準を選択すると、あらゆる発行先のデジタル証明書で署名されたアプリケーションの起動が、作成したルールにより管理されます。

           ファイルの署名に使用されたデジタル証明書の発行先は、［ルール有効化の条件］セクションの上にある［ファイルのプロパティからルール有効化の条件を設定］を使用して選択されたファイルのプロパティからのみ指定できます。

           既定では、このチェックボックスはオフです。

         • サムプリントを使用

           

           ルール有効化の条件として、デジタル証明書のサムプリントの使用を有効または無効にします。

           このチェックボックスをオンにすると、デジタル証明書の指定されたサムプリントが、ルール有効化の条件として使用されます。作成したルールでは、指定のサムプリントのデジタル証明書で署名されたアプリケーションの起動が制御されます。

           このチェックボックスをオフにすると、ルール有効化の条件にデジタル証明書のサムプリントは使用されません。［デジタル証明書］の基準を選択すると、あらゆるサムプリントのデジタル証明書を使用して署名されたアプリケーションの起動が制御されます。

           ファイルの署名に使用されたデジタル証明書のサムプリントは、［ルール有効化の条件］セクションの上にある［ファイルのプロパティからルール有効化の条件を設定］を使用して選択されたファイルのプロパティからのみ指定できます。

           既定では、このチェックボックスはオフです。

         • SHA256 ハッシュ

           

           このオプションをオンにすると、ルールの作成に使用されるファイルのチェックサムが、アプリケーション起動コントロールに対して新しく作成された許可ルールの設定でルール有効化の条件として指定されます。指定されたチェックサムを持つファイルを使用して起動されるプログラムの開始が許可されます。

           このオプションは生成されたルールが最高のセキュリティレベルを満たす必要がある場合に推奨され、SHA256 チェックサムが各ファイルに固有の識別子として使用されます。ルール有効化の条件として SHA256 チェックサムを使用すると、ルールの適用範囲を 1 つのファイルに絞り込むことができます。

         • ファイルのパス

           

           このオプションがオンの場合、ファイルの完全パスを使用してプロセスを信頼するかどうかが判定されます。

      4. ［OK］をクリックします。
      5. 必要に応じて、手順（i）～（iv）を繰り返し、除外を追加します。
5. ［ルール設定］ウィンドウで［OK］をクリックします。

［アプリケーション起動コントロールルール］ウィンドウのリストに、作成されたルールが表示されます。