アプリケーション起動コントロールルールの生成について

Kaspersky Security Center のタスクとポリシーを使用して、アプリケーション起動コントロールルールのリストを企業ネットワーク上の全保護対象デバイスおよび保護対象デバイスのグループに対して一度に作成できます。参照マシンが企業ネットワークになく、テンプレートマシンにインストールされているアプリケーションに基づいて許可ルールのリストを作成できない場合、以下に示すシナリオを使用してください。

アプリケーションコンソールからローカルにアプリケーション起動コントロールルールの自動生成タスクを実行して、1 台の保護対象デバイスで実行するアプリケーションに基づいてルールのリストを作成できます。

アプリケーション起動コントロールコンポーネントは、事前設定された 2 つの許可ルールとともにインストールされます：

• オペレーティングシステムの信頼する証明書を使用したスクリプトと Windows Installer パッケージの許可ルール。
• オペレーティングシステムの信頼する証明書を使用した実行ファイルの許可ルール。

Kaspersky Security Center 側でアプリケーション起動コントロールルールのリストを作成するには、次のいずれかの方法で行います：

• アプリケーション起動コントロールルールの自動生成グループタスクを使用する。

  このシナリオでは、ネットワーク上の各保護対象デバイスに対して、アプリケーション起動コントロールルールの独自のリストがグループタスクにより生成され、指定した共有フォルダーの XML ファイルにそれらのリストが保存されます。アプリケーション起動コントロールルールの自動生成タスクによって生成される XML ファイルには、タスクを開始する前のタスクの設定で指定した許可ルールが含まれます。指定されたタスクの設定で起動が許可されていないアプリケーションに対してルールは作成されません。そのようなアプリケーションの起動は既定で拒否されます。その後、作成したルールのリストを Kaspersky Security Center のポリシーのアプリケーション起動コントロールタスクに手動でインポートできます。

  生成されたルールがアプリケーション起動コントロールタスクのルールのリストへ自動的にインポートされるように、設定を編集できます。

  アプリケーション起動コントロールルールのリストを急いで作成する必要がある場合にこのシナリオを使用してください。アプリケーション起動コントロールルールの自動生成タスクのスケジュールによる開始は、適用される許可ルールに、安全であることがわかっているフォルダーとファイルのみが含まれる場合に限定して設定してください。

  ネットワークでアプリケーション起動コントロールタスクを使用する前に、すべての保護対象デバイスが共有フォルダーにアクセスできることを確認します。組織のポリシーによりネットワークで共有フォルダーを使用できない場合は、テスト用保護対象デバイスグループの保護対象デバイス上で、または共通ルールを作成する上でベースとなるようなテンプレートマシン上でアプリケーション起動コントロールルールの自動生成タスクを開始してください。

• 統計のみモードで実行されるアプリケーション起動コントロールタスクにより、Kaspersky Security Center で生成されるタスクイベントのレポートをベースにする。

  このシナリオでは、Kaspersky Embedded Systems Security はアプリケーションの起動を拒否しません。代わりに、［統計のみ］モードでのアプリケーション起動コントロールの実行中、Kaspersky Security Center の管理サーバーフォルダーの作業領域にある［イベント］タブで、ネットワークの保護対象デバイス全体で許可および拒否されたすべてのアプリケーション起動が報告されます。Kaspersky Security Center は、レポートを使用して、アプリケーションの起動が拒否されたイベントの 1 つのリストを生成します。

  タスクの実行期間を編集し、指定された期間中に保護対象デバイスおよび保護対象デバイスグループで生じうるすべてのシナリオが実行され、なおかつ再起動が 1 回以上実施されるようにする必要があります。タスクの実行期間の後で、保存された Kaspersky Security Center のイベントレポート（TXT 形式）からアプリケーション起動のデータをインポートし、このデータに基づいてアプリケーション起動コントロールの許可ルールをそれらのアプリケーションに対して作成できます。

  企業ネットワークに用途種別の異なる保護対象デバイス（異なるソフトウェアがインストールされている保護対象デバイス）が多数存在する場合に、このシナリオを使用してください。

• 設定ファイルの作成やインポートは行わずに、Kaspersky Security Center を介して受け取った、拒否されたアプリケーション起動イベントをベースにする。

  この機能を使用するには、保護対象デバイス上のアプリケーション起動コントロールタスクが、アクティブな Kaspersky Security Center ポリシーの下で実行されている必要があります。この場合、保護対象デバイス上のすべてのイベントが管理サーバーに送信されます。

ネットワークの保護対象デバイスにインストールされているアプリケーションのセットが変更された場合、ルールのリストをアップデートしてください（アップデートがインストールされた場合、オペレーティングシステムが再インストールされた場合など）。ルールのリストをアップデートする際には、アプリケーション起動コントロールルールの自動生成タスクまたはアプリケーション起動コントロールタスクを、テスト管理グループの保護対象デバイス上で［統計のみ］モードで実行してください。テストの管理グループには、新しいアプリケーションをネットワークの保護対象デバイスにインストールする前にテスト起動するために必要な保護対象デバイスが含まれます。

許可ルールのリストの XML ファイルは、保護対象デバイスで開始されるタスクの分析を基に作成されます。ルールのリストの作成時にネットワーク上で使用されているすべてのアプリケーションを含めるには、アプリケーション起動コントロールルールの自動生成タスクおよびアプリケーション起動コントロールタスクを、共通ルールを作成する上でベースとなるようなテンプレートマシン上で［統計のみ］モードで開始してください。

参照マシン上で起動されたアプリケーションに基づいて許可ルールを生成する前に、テンプレートマシンがセキュアでマルウェアが存在しないことを確認してください。

許可ルールを追加する前に、利用できるルール適用モードのいずれかを選択します。Kaspersky Security Center ポリシールールのリストには、ルール適用モードに関係なく、ポリシーによって指定されたルールのみが表示されます。ローカルルールのリストには、適用されたすべてのルール（ローカルルールと、ポリシーを介して追加されたルールの両方）が表示されます。