アプリケーションコントロールを使用して実行ファイルを管理する
アプリケーションコントロールコンポーネントを使用すると、ユーザーデバイス上の実行ファイルの起動を許可またはブロックできます。アプリケーションコントロールコンポーネントは、Windows ベースおよび Linux ベースのオペレーティングシステムをサポートします。
Linux ベースのオペレーティングシステムの場合、Application Control コンポーネントは Kaspersky Endpoint Security 11.2 for Linux 以降から使用できます。
必須条件
- 組織内に Kaspersky Security Center Linux が導入されている。
- Kaspersky Endpoint Security for Linux または Kaspersky Endpoint Security for Windows のポリシーが作成され、有効になっている。ポリシーでアプリケーションコントロールコンポーネントが有効になっています。
実行するステップ
アプリケーションコントロールのユーザーシナリオは次のステップに分かれています:
- クライアントデバイス上の実行ファイルのリストの作成と表示
このステップでは、管理対象デバイスでどのような実行ファイルが検知されたかを把握できます。実行ファイルのリストを表示して、許可対象の実行ファイルと禁止対象の実行ファイルのリストと照合してください。組織の情報セキュリティポリシーに関連した制限が実行ファイルに対して必要になる場合もあります。管理対象デバイスにどのような実行ファイルが使用されるかを、既に正確に把握できている場合は、このステップをスキップできます。
実行手順の説明:クライアントデバイス上の実行ファイルのリストの取得と表示
- 組織内で使用される実行ファイルのカテゴリを作成する
管理対象デバイスに保管されている実行ファイルのリストを分析します。分析に基づいて、実行ファイルのカテゴリを作成します。組織で使用される標準的な実行ファイル群をカバーする「作業用アプリケーション」カテゴリを作成することを推奨します。異なるセキュリティグループがそれぞれの業務で実行ファイルセットを使用する場合、セキュリティグループごとに別のカテゴリを作成することができます。
アプリケーションコントロールルールのいずれにも一致しない設定の実行ファイルの起動は、コンポーネントの選択された動作モードによって規制されます:
- 拒否リスト:このモードは、ブロックルールで指定された実行ファイル以外のすべての実行ファイルの起動を許可する場合に使用します。既定ではこのモードが選択されます。
- 許可リスト。このモードは、許可ルールで指定された実行ファイル以外のすべての実行ファイルの起動をブロックしたい場合に使用します。
アプリケーションコントロールルールは、実行ファイルのカテゴリを通じて実装されます。Kaspersky Security Center Linux では、実行ファイルには 3 種類のカテゴリがあります:
- 手動でコンテンツを追加するカテゴリ:ファイルのメタデータ、ハッシュコード、証明書、パスなど、実行ファイルをカテゴリに含めるための条件を指定します。
- 選択したデバイスの実行ファイルを含むカテゴリ:デバイスを指定して、デバイス上に存在する実行ファイルを自動的にカテゴリに含めます。
- 選択したフォルダーの実行ファイルを含むカテゴリ:フォルダーを指定して、フォルダー上に存在する実行ファイルを自動的にカテゴリに含めます。
- Kaspersky Endpoint Security ポリシーでのアプリケーションコントロール機能の設定
上述したステージで作成したカテゴリを使用して、Kaspersky Endpoint Security for Linux ポリシー内でアプリケーションコントロール機能を設定します。
実行手順の説明:Kaspersky Endpoint Security for Windows ポリシーでのアプリケーションコントロール機能の設定
- アプリケーションコントロール機能のテストモードでの有効化
アプリケーションコントロールルールが業務で必要な実行ファイルをブロックしないことを確認するため、新規ルールの作成後にテストを有効にして動作を検証することを推奨します。テストモードで実行している場合、Kaspersky Endpoint Security for Windows は、アプリケーションコントロールルールで起動が禁止されている実行ファイルをブロックせず、その起動について管理サーバーに通知します。
アプリケーションコントロールルールのテストでは、次の手順の実施を推奨します:
- 必要に応じたテスト期間を指定する。必要なテスト期間は数日から 2 カ月ほどまで、ルールに応じて異なります。
- アプリケーションコントロールの動作テストによって記録されたイベントを分析する。
Kaspersky Security Center Web コンソールの使用方法:Kaspersky Endpoint Security for Windows ポリシーでのアプリケーションコントロール機能の設定これらの手順に従って、設定プロセスでテストモードを有効にします。
- アプリケーションコントロールコンポーネントの設定の変更
必要に応じて、アプリケーションコントロール設定に変更を行います。テスト結果に応じて、アプリケーションコントロールコンポーネントのイベントに関連していた実行ファイルを「手動でコンテンツを追加するカテゴリ」に追加できます。
手順:Kaspersky Security Center Web コンソール:イベントに関連する実行ファイルのアプリケーションカテゴリへの追加
- アプリケーションコントロールルールの実運用での適用
アプリケーションコントロールルールのテストとカテゴリの設定が完了したら、運用モードで実際にアプリケーションコントロールルールを適用できます。
Kaspersky Security Center Web コンソールの使用方法:Kaspersky Endpoint Security for Windows ポリシーでのアプリケーションコントロール機能の設定これらの手順に従って、設定プロセスでテストモードを無効にします。
- アプリケーションコントロールの設定の検証
次の手順がすべて完了していることを確認してください:
- 実行ファイルのカテゴリを作成しました。
- カテゴリを使用してアプリケーションコントロールルールの設定します。
- アプリケーションコントロールルールの実運用での適用。
結果
シナリオが完了すると、管理対象デバイス上の実行ファイルの起動がコントロールされます。ユーザーは、組織で許可されている実行ファイルのみを実行することができ、組織で禁止されている実行ファイルを実行することはできません。
アプリケーションコントロールの詳細は、Kaspersky Endpoint Security for Linux のヘルプおよび Kaspersky Endpoint Security for Windows のヘルプを参照してください。