アプリケーション起動コントロールルールについて
アプリケーション起動コントロールルールの仕組み
アプリケーション起動コントロールルールの処理は、次のコンポーネントに基づきます:
- ルールの種別
アプリケーション起動コントロールルールは、アプリケーションの起動を許可または拒否できます。それぞれ許可ルールまたは拒否ルールと呼ばれています。アプリケーション起動コントロールの許可ルールのリストを作成するには、ルールの自動生成を使用して許可ルールを生成するか、アプリケーション起動コントロールタスクで統計のみモードを使用します。また、許可ルールを手動で追加することもできます。
- ユーザーまたはユーザーグループ
アプリケーション起動コントロールルールは、ユーザーまたはユーザーグループによって指定されたアプリケーションの起動を制御できます。
- ルールの使用範囲
アプリケーション起動コントロールルールは、実行ファイルやスクリプト、MSI パッケージに適用できます。
- ルール有効化の条件
アプリケーション起動コントロールルールは、ルール設定で指定された 1 つまたは複数の基準のいずれかを満たすファイルの起動を制御します。指定されたデジタル証明書によってファイルが署名されていること、指定された SHA256 ハッシュとファイルが一致していること、指定されたパスにあること、指定されたコマンドライン引数に一致していることが、ルール設定で指定される基準です。少なくとも 1 つのオプションをオンにする必要があります。それ以外の場合、アプリケーション起動コントロールのルールは追加されません。
ルール有効化の条件にデジタル証明書を設定すると、オペレーティングシステムで信頼されているすべてのアプリケーションの起動が、作成したルールによって制御されます。次のチェックボックスを使用して、より厳しい有効化の条件を設定することもできます:
サムプリントはデジタル証明書を一意に識別し、デジタル証明書の発行先と違って偽造できないため、デジタル証明書に基づくアプリケーション起動ルールの適用では、最も基準が正確になっています。
アプリケーション起動コントロールルールに対して除外対象を指定することもできます。アプリケーション起動コントロールルールの除外対象は、ルール有効化の条件と同様、デジタル証明書、SHA256 ハッシュ、ファイルのパスに基づきます。特定の許可ルールのために、アプリケーション起動コントロールルールの除外対象が必要になる場合もあります。たとえば、ユーザーが C:\Windows のパスからアプリケーションを起動することを許可する一方で、ファイル Regedit.exe の起動をブロックできます。
オペレーティングシステムのファイルがアプリケーション起動コントロールタスクの範囲に該当する場合、アプリケーション起動コントロールルールを作成する時、そのアプリケーションが新たに作成したルールによって許可されていることを確認してください。許可されていない場合、オペレーティングシステムが起動しないことがあります。
アプリケーション起動コントロールルールの管理
アプリケーション起動コントロールルールを使用して、次の処理を実行できます:
- ルールを手動で追加する
- ルールを自動生成して追加する
- ルールを削除する
- ルールをファイルにエクスポートする
- 選択したファイルの実行を許可するルールに適合しているかどうか、これらのファイルをチェックする
- 指定した基準に従って、リストのルールをフィルタリングする