|
|
|
設定
|
説明
|
値
|
AppControlMode
|
アプリケーションコントロールタスクの操作モード。
|
AllowList - アプリケーションコントロールルールで指定されていないアプリケーションをユーザーが起動できないようにします。
DenyList(既定値) - アプリケーションコントロールルールで指定されていないアプリケーションをユーザーが起動できるようにします。
|
AppControlRulesAction
|
アプリケーションコントロールで禁止されているアプリケーションの起動をユーザーが試行した時に実行される処理。
|
ApplyRules(既定値) - アプリケーションコントロールルールが適用され、ルールで指定された処理が実行されます。
TestRules - ルールがテストされ、ルールを満たすアプリケーションの検出に関するイベントが生成されます。
|
[Categories.item_#] セクションには、次の設定が含まれています:
|
Name
|
ルールが適用される、作成されたアプリケーションカテゴリの名前。
|
|
UseIncludes
|
ルールを適用するための対象条件の使用。
|
Yes - アプリケーションが少なくとも 1 つの対象条件を満たしている場合は、ルールをアプリケーションに適用します。
No(既定値) - アプリケーションが対象条件を満たす場合でも、ルールをアプリケーションに適用しません。
|
IncludeFileNames.item_#
|
ルールを適用する実行ファイルの名前。
ファイル名の指定にマスクを使用できます。
アスタリスク記号「*」を使用して、ファイル名またはディレクトリ名のマスクを作成できます。
ファイル名またはディレクトリ名の「/」記号の前にある任意の文字数の文字列(0 文字の場合を含む)を表す「*」記号を 1 つ指定することができます。例:「/dir/*/file」または「/dir/*/*/file」
2 つの連続する「*」記号は、ファイル名またはディレクトリ名における「/」記号を含む任意の文字数の文字列(0 文字の場合も含む)を示します。例:「/dir/**/file*/」または「/dir/file**/」
アスタリスク記号を 2 文字連続させた「**」というマスク表現は、ディレクトリ名で 1 回のみ使用できます。たとえば、「/dir/**/**/file」は不適切なマスク表現となります。
マウントポイント /dir を除外するには、/dir (アスタリスク記号(*)なし)を特に示す必要があります。
マスク /dir/* では、/dir のすぐ下のレベルですべてのマウントポイントが除外されますが、/dir それ自身は除外されません。/dir/** では、/dir よりも下の全レベルですべてのマウントポイントが除外されますが、/dir それ自身は除外されません。
|
|
IncludeFolders.item_#
|
ルールを適用するアプリケーションの実行ファイルがあるディレクトリの名前。
ディレクトリ名の指定にマスクを使用できます。
アスタリスク記号「*」を使用して、ファイル名またはディレクトリ名のマスクを作成できます。
ファイル名またはディレクトリ名の「/」記号の前にある任意の文字数の文字列(0 文字の場合を含む)を表す「*」記号を 1 つ指定することができます。例:「/dir/*/file」または「/dir/*/*/file」
2 つの連続する「*」記号は、ファイル名またはディレクトリ名における「/」記号を含む任意の文字数の文字列(0 文字の場合も含む)を示します。例:「/dir/**/file*/」または「/dir/file**/」
アスタリスク記号を 2 文字連続させた「**」というマスク表現は、ディレクトリ名で 1 回のみ使用できます。たとえば、「/dir/**/**/file」は不適切なマスク表現となります。
マウントポイント /dir を除外するには、/dir (アスタリスク記号(*)なし)を特に示す必要があります。
マスク /dir/* では、/dir のすぐ下のレベルですべてのマウントポイントが除外されますが、/dir それ自身は除外されません。/dir/** では、/dir よりも下の全レベルですべてのマウントポイントが除外されますが、/dir それ自身は除外されません。
|
|
IncludeHashes.item_#
|
ルールを適用する実行ファイルのハッシュ(SHA-256)。
|
|
UseExcludes
|
ルールを適用するための除外条件の使用。
|
Yes - アプリケーションが少なくとも 1 つの除外条件を満たしている場合、または対象条件のいずれも満たしていない場合は、ルールをアプリケーションに適用しません。
No(既定値) - アプリケーションが少なくとも 1 つの除外条件を満たす場合でも、ルールをアプリケーションに適用します。
|
ExcludeFileNames.item_#
|
ルールを適用する実行ファイルの名前。
ファイル名の指定にマスクを使用できます。
アスタリスク記号「*」を使用して、ファイル名またはディレクトリ名のマスクを作成できます。
ファイル名またはディレクトリ名の「/」記号の前にある任意の文字数の文字列(0 文字の場合を含む)を表す「*」記号を 1 つ指定することができます。例:「/dir/*/file」または「/dir/*/*/file」
2 つの連続する「*」記号は、ファイル名またはディレクトリ名における「/」記号を含む任意の文字数の文字列(0 文字の場合も含む)を示します。例:「/dir/**/file*/」または「/dir/file**/」
アスタリスク記号を 2 文字連続させた「**」というマスク表現は、ディレクトリ名で 1 回のみ使用できます。たとえば、「/dir/**/**/file」は不適切なマスク表現となります。
マウントポイント /dir を除外するには、/dir (アスタリスク記号(*)なし)を特に示す必要があります。
マスク /dir/* では、/dir のすぐ下のレベルですべてのマウントポイントが除外されますが、/dir それ自身は除外されません。/dir/** では、/dir よりも下の全レベルですべてのマウントポイントが除外されますが、/dir それ自身は除外されません。
|
|
ExcludeFolders.item_#
|
ルールを適用するアプリケーションの実行ファイルがあるディレクトリの名前。
ディレクトリ名の指定にマスクを使用できます。
アスタリスク記号「*」を使用して、ファイル名またはディレクトリ名のマスクを作成できます。
ファイル名またはディレクトリ名の「/」記号の前にある任意の文字数の文字列(0 文字の場合を含む)を表す「*」記号を 1 つ指定することができます。例:「/dir/*/file」または「/dir/*/*/file」
2 つの連続する「*」記号は、ファイル名またはディレクトリ名における「/」記号を含む任意の文字数の文字列(0 文字の場合も含む)を示します。例:「/dir/**/file*/」または「/dir/file**/」
アスタリスク記号を 2 文字連続させた「**」というマスク表現は、ディレクトリ名で 1 回のみ使用できます。たとえば、「/dir/**/**/file」は不適切なマスク表現となります。
マウントポイント /dir を除外するには、/dir (アスタリスク記号(*)なし)を特に示す必要があります。
マスク /dir/* では、/dir のすぐ下のレベルですべてのマウントポイントが除外されますが、/dir それ自身は除外されません。/dir/** では、/dir よりも下の全レベルですべてのマウントポイントが除外されますが、/dir それ自身は除外されません。
|
|
ExcludeHashes.item_#
|
ルールを適用する実行ファイルのハッシュ(SHA-256)。
|
|
[AllowListRules.item _#] セクションには、AllowList 操作モードのアプリケーションコントロールルールのリストが含まれています。
[AllowListRules.item_#] の各セクションには、次の設定が含まれています:
|
説明
|
アプリケーションコントロールルールの説明。
|
|
AppControlRuleStatus
|
アプリケーションコントロールルールの動作ステータス。
|
On(既定値) - ルールが有効であり、アプリケーションコントロールタスクの実行時にこのルールが適用されます。
Off - アプリケーションコントロールタスクの実行時にルールは使用されません。
Test - ルールの対象となるアプリケーションの起動が許可されます。ただし、これらのアプリケーションの起動に関する情報がレポートに記録されます。
|
Category
|
ルールが適用される、作成されたアプリケーションカテゴリの名前。
「ゴールデンイメージ」カテゴリを指定できます。
|
|
[AllowListRules.item_#.ACL.item_#] セクションには、アプリケーションの実行を許可または拒否されたユーザーのリストが含まれます。
|
Access
|
ユーザーまたはユーザーグループに割り当てられるアクセスの種別。
|
Allow(既定値) - アプリケーションの実行を許可します。
Block–実行中のアプリケーションを拒否します。
|
Principal
|
アプリケーションコントロールルールが適用されるユーザーまたはユーザーグループ。
|
\Everyone(既定値) - すべてのユーザーにアクセスルールが適用されます。
<user name> - アクセスルールを適用するユーザーの名前を指定します。
@<group name> - アクセスルールを適用するユーザーのグループの名前を指定します。
|
[DenyListRules.item_#] セクションには、DenyList 操作モードのアプリケーションコントロールルールのリストが含まれています。
[DenyListRules.item_#] の各セクションには、次の設定が含まれています:
|
説明
|
アプリケーションコントロールルールの説明。
|
|
AppControlRuleStatus
|
アプリケーションコントロールルールの動作ステータス。
|
On(既定値) - ルールが有効であり、アプリケーションコントロールタスクの実行時にこのルールが適用されます。
Off - アプリケーションコントロールタスクの実行時にルールは使用されません。
Test - ルールの対象となるアプリケーションの起動が許可されます。ただし、これらのアプリケーションの起動に関する情報がレポートに記録されます。
|
Category
|
ルールが適用される、作成されたアプリケーションカテゴリの名前。
アプリケーションの「ゴールデンイメージ」リストをカテゴリとして指定できます。
|
|
[DenyListRules.item_#.ACL.item_#] セクションには、アプリケーションの実行を許可または拒否されたユーザーのリストが含まれます。
|
Access
|
ユーザーまたはユーザーグループに割り当てられるアクセスの種別。
|
Allow – 実行中のアプリケーションを許可します。
Block(既定値) – 実行中のアプリケーションをブロックします。
|
Principal
|
アプリケーションコントロールルールが適用されるユーザーまたはユーザーグループ。
|
\Everyone(既定値) - すべてのユーザーにアクセスルールが適用されます。
<user name> - アクセスルールを適用するユーザーの名前を指定します。
@<group name> - アクセスルールを適用するユーザーのグループの名前を指定します。
|