アプリケーション起動コントロールルールについて

サポート

法人向けアプリケーション

Kaspersky Embedded Systems Security 3.x

アプリケーション起動コントロール

アプリケーション起動コントロールルールについて

2023年2月20日

ID 148394

PDF として入手

アプリケーション起動コントロールルールの仕組み

アプリケーション起動コントロールルールの処理は、次のコンポーネントに基づきます：

ルールの種別
アプリケーション起動コントロールルールは、アプリケーションの起動を許可または拒否できます。それぞれ許可ルールまたは拒否ルールと呼ばれています。アプリケーション起動コントロールの許可ルールのリストを作成するには、ルールの自動生成を使用して許可ルールを生成するか、アプリケーション起動コントロールタスクで統計のみモードを使用します。また、許可ルールを手動で追加することもできます。
ユーザーまたはユーザーグループ
アプリケーション起動コントロールルールは、ユーザーまたはユーザーグループによって指定されたアプリケーションの起動を制御できます。
ルールの使用範囲
アプリケーション起動コントロールルールは、実行ファイルやスクリプト、MSI パッケージに適用できます。
ルール有効化の条件
アプリケーション起動コントロールルールは、ルール設定で指定された 1 つまたは複数の基準のいずれかを満たすファイルの起動を制御します。指定されたデジタル証明書によってファイルが署名されていること、指定された SHA256 ハッシュとファイルが一致していること、指定されたパスにあること、指定されたコマンドライン引数に一致していることが、ルール設定で指定される基準です。少なくとも 1 つのオプションをオンにする必要があります。それ以外の場合、アプリケーション起動コントロールのルールは追加されません。
ルール有効化の条件にデジタル証明書を設定すると、オペレーティングシステムで信頼されているすべてのアプリケーションの起動が、作成したルールによって制御されます。次のチェックボックスを使用して、より厳しい有効化の条件を設定することもできます：
- 発行先を使用
  ルール有効化の条件として、デジタル証明書の発行先の使用を有効または無効にします。
  
  このチェックボックスをオンにすると、デジタル証明書の指定された発行先が、ルール有効化の条件として使用されます。作成したルールでは、発行先として指定された製造元のアプリケーションに対してのみ起動が制御されます。
  
  このチェックボックスをオフにすると、ルール有効化の条件にデジタル署名の発行先は使用されません。［デジタル証明書］の基準を選択すると、あらゆる発行先のデジタル証明書で署名されたアプリケーションの起動が、作成したルールにより管理されます。
  
  ファイルの署名に使用されたデジタル証明書の発行先は、［ファイルのプロパティからルール有効化の条件を設定］セクションの上にある［ルール有効化の条件］を使用して選択されたファイルのプロパティからのみ指定できます。
  
  既定では、このチェックボックスはオフです。
- サムプリントを使用
  ルール有効化の条件として、デジタル証明書のサムプリントの使用を有効または無効にします。
  
  このチェックボックスをオンにすると、デジタル証明書の指定されたサムプリントが、ルール有効化の条件として使用されます。作成したルールでは、指定のサムプリントのデジタル証明書で署名されたアプリケーションの起動が制御されます。
  
  このチェックボックスをオフにすると、ルール有効化の条件にデジタル証明書のサムプリントは使用されません。［デジタル証明書］の基準を選択すると、あらゆるサムプリントのデジタル証明書を使用して署名されたアプリケーションの起動が制御されます。
  
  ファイルの署名に使用されたデジタル証明書のサムプリントは、［ファイルのプロパティからルール有効化の条件を設定］セクションの上にある［ルール有効化の条件］を使用して選択されたファイルのプロパティからのみ指定できます。
  
  既定では、このチェックボックスはオフです。
サムプリントはデジタル証明書を一意に識別し、デジタル証明書の発行先と違って偽造できないため、デジタル証明書に基づくアプリケーション起動ルールの適用では、最も基準が正確になっています。

アプリケーション起動コントロールルールに対して除外対象を指定することもできます。アプリケーション起動コントロールルールの除外対象は、ルール有効化の条件と同様、デジタル証明書、SHA256 ハッシュ、ファイルのパスに基づきます。特定の許可ルールのために、アプリケーション起動コントロールルールの除外対象が必要になる場合もあります。たとえば、ユーザーが C:\Windows のパスからアプリケーションを起動することを許可する一方で、ファイル Regedit.exe の起動をブロックできます。

オペレーティングシステムのファイルがアプリケーション起動コントロールタスクの範囲に該当する場合、アプリケーション起動コントロールルールを作成する時、そのアプリケーションが新たに作成したルールによって許可されていることを確認してください。許可されていない場合、オペレーティングシステムが起動しないことがあります。

アプリケーション起動コントロールルールの管理

アプリケーション起動コントロールルールを使用して、次の処理を実行できます：

ルールを手動で追加する
ルールを自動生成して追加する
ルールを削除する
ルールをファイルにエクスポートする
選択したファイルの実行を許可するルールに適合しているかどうか、これらのファイルをチェックする
指定した基準に従って、リストのルールをフィルタリングする

Kaspersky Professional Services

導入サービス。正常性チェックとセキュリティシステムの設定。専門家のサポートが必要な場合、お問い合わせください。

拡張テクニカルサポート (MSA) : 優先度の高いインシデント対応

電話またはWebポータルでサポートを提供。迅速なインシデント対応、監視、正常性チェック。最適なプランを選び、申請して、契約（MSA）をアクティブ化。

この記事はお役に立ちましたか？

改善できる点がありましたらお聞かせください。

フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。