ブロック対象のアプリケーションモードを有効にする方法
ブロック対象のアプリケーションモードでは、アプリケーションコントロールルールで禁止されているアプリケーションを除くすべてのアプリケーションを、ユーザーが起動できます。つまり、拒否ルールが存在しない場合は、アプリケーションコントロールによってアプリケーションの起動が許可されます。アプリケーションコントロールのこのモードは、規定では有効になっています。
ブロック対象のアプリケーションモードを有効にする前に、アプリケーションコントロールルールをテストすることを推奨します。この目的で、テストモードを有効にすることができます。
管理コンソール(MMC)でブロック対象のアプリケーションモードを有効にする方法
- Kaspersky Security Center の管理コンソールを開きます。
- コンソールツリーで、[ポリシー]を選択します。
- 目的のポリシーを選択し、ダブルクリックしてポリシーのプロパティを表示します。
- ポリシーウィンドウで、[セキュリティコントロール]→[アプリケーションコントロール]の順に選択します。
- [アプリケーションコントロール]チェックボックスをオンにします。
- [アプリケーションコントロールの設定]ブロックで、[コントロールモード]ドロップダウンリストから[拒否リスト]を選択します。
- [処理]で、アプリケーションコントロールの処理を選択します。
- ルールをテスト運用:アプリケーションコントロールは、ルールによって実行が禁止されているアプリケーションをブロックしませんが、これ以外でブロックされるアプリケーションの実行に関するイベントを生成します。
- ルールを適用:アプリケーションコントロールは、ブロック対象のアプリケーションをブロックし、対応するイベントを生成します。
- アプリケーションコントロールルールのステータスを選択します。
- オン:このステータスは、アプリケーションコントロールが実行されているときにルールが使用されることを示します。
- オフ:このステータスは、アプリケーションコントロールが実行されているときにルールが無視されることを示します。
- テスト:このステータスは、ルールが適用されるアプリケーションの起動は常に許可されるが、そのようなアプリケーションの起動についての情報がレポートに記録されることを意味します。
必要に応じて、新しいアプリケーションコントロールルールを追加します。
- アプリケーションコントロールの詳細設定を指定します:
- DLL モジュールの読み込みの監視(システムの負荷が大きくなります):このチェックボックスをオンにすると、ユーザーがアプリケーションの起動を試行した際に、DLL モジュールの読み込みを管理します。DLL モジュールの情報およびこの DLL モジュールを読み込んだアプリケーションの情報が、レポートに記録されます。
どの DLL モジュールとドライバーを読み込むかを管理する機能を有効にする場合、[アプリケーションコントロール]で、既定の[ゴールデンイメージ]ルールまたは「ゴールデンイメージ\信頼済み証明書」KL カテゴリを含み信頼する DLL モジュールとドライバーが Kaspersky Endpoint Security の起動前に読み込まれるように設定した別のルールを有効にしてください。[ゴールデンイメージ]ルールが無効なときに DLL モジュールとドライバーの読み込みの管理を有効にすると、オペレーティングシステムが不安定になる場合があります。
Kaspersky Endpoint Security は、[DLL とドライバーを管理]をオンにした後で読み込まれた DLL モジュールとドライバーのみを監視します。チェックボックスをオンにした後、Kaspersky Endpoint Security の起動前に読み込まれるものも含めすべての DLL モジュールとドライバーを確実に監視するため、コンピューターの再起動を推奨します。
- 厳密なデジタル署名検証を使用する:アプリケーションコントロールルールの適用条件として証明書を選択できます。このチェックボックスをオンにすると、Kaspersky Endpoint Security は、信頼するシステム証明書ストアの証明書で署名されたアプリケーションにのみルールを適用します。このような証明書で署名されたアプリケーションは、さらに、マルウェアのスキャンタスクなどの保護機能によって信頼されていると判断されます。ただし、アプリケーションコントロールルールで別のストアの証明書を指定した場合、そのルールは適用されません。
チェックボックスをオフにすると、Kaspersky Endpoint Security は、Windows の信頼するルート証明書ストア(Trusted Root Certificate Store)の証明書で署名されたアプリケーションにルールを適用します。このようなアプリケーションは信頼ゾーンに含まれません。保護機能により、このようなアプリケーションの動作が監視されます。
- ブロックに関するメッセージ:アプリケーションの開始をブロックするアプリケーションコントロールルールが適用される際に表示されるメッセージのテンプレート。
- 管理者に送信するメッセージ:アプリケーションが誤ってブロックされたとユーザーが考える場合に、ユーザーが企業 LAN 管理者に送信できるメッセージのテンプレート。
- 変更内容を保存します。コンピューターにポリシーを適用するには、南京錠を閉じます(
)。
Web コンソールおよび Cloud コンソールでブロック対象のアプリケーションモードを有効にする方法
- Web コンソールのメインウィンドウで、[アセット(デバイス)]→[ポリシーとプロファイル]タブを選択します。
- Kaspersky Endpoint Security のポリシーの名前をクリックします。
ポリシーのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [セキュリティコントロール]→[アプリケーションコントロール]に移動します。
- [アプリケーションコントロール]をオンにします。
- [アプリケーションコントロールモード]ブロックで、[拒否リスト]を選択します。
- [ルールでブロックされたアプリケーションの開始時の処理]で、アプリケーションコントロールの処理を選択します。
- 通知する(テストモード):アプリケーションコントロールは、ルールによって実行が禁止されているアプリケーションをブロックしませんが、これ以外でブロックされるアプリケーションの実行に関するイベントを生成します。
- ブロックする:アプリケーションコントロールは、ブロック対象のアプリケーションをブロックし、対応するイベントを生成します。
- アプリケーションコントロールルールのステータスを選択します。
- 有効:このステータスは、アプリケーションコントロールが実行されているときにルールが使用されることを示します。
- 無効:このステータスは、アプリケーションコントロールが実行されているときにルールが無視されることを示します。
- テストモード:このステータスは、ルールが適用されるアプリケーションの起動は常に許可されるが、そのようなアプリケーションの起動についての情報がレポートに記録されることを意味します。
必要に応じて、新しいアプリケーションコントロールルールを追加します。
- アプリケーションコントロールの詳細設定を指定します:
- DLL モジュールの読み込みの監視(システムの負荷が大きくなります):このチェックボックスをオンにすると、ユーザーがアプリケーションの起動を試行した際に、DLL モジュールの読み込みを管理します。DLL モジュールの情報およびこの DLL モジュールを読み込んだアプリケーションの情報が、レポートに記録されます。
どの DLL モジュールとドライバーを読み込むかを管理する機能を有効にする場合、[アプリケーションコントロール]で、既定の[ゴールデンイメージ]ルールまたは「ゴールデンイメージ\信頼済み証明書」KL カテゴリを含み信頼する DLL モジュールとドライバーが Kaspersky Endpoint Security の起動前に読み込まれるように設定した別のルールを有効にしてください。[ゴールデンイメージ]ルールが無効なときに DLL モジュールとドライバーの読み込みの管理を有効にすると、オペレーティングシステムが不安定になる場合があります。
Kaspersky Endpoint Security は、[DLL とドライバーを管理]をオンにした後で読み込まれた DLL モジュールとドライバーのみを監視します。チェックボックスをオンにした後、Kaspersky Endpoint Security の起動前に読み込まれるものも含めすべての DLL モジュールとドライバーを確実に監視するため、コンピューターの再起動を推奨します。
- 厳密なデジタル署名検証を使用する:アプリケーションコントロールルールの適用条件として証明書を選択できます。このチェックボックスをオンにすると、Kaspersky Endpoint Security は、信頼するシステム証明書ストアの証明書で署名されたアプリケーションにのみルールを適用します。このような証明書で署名されたアプリケーションは、さらに、マルウェアのスキャンタスクなどの保護機能によって信頼されていると判断されます。ただし、アプリケーションコントロールルールで別のストアの証明書を指定した場合、そのルールは適用されません。
チェックボックスをオフにすると、Kaspersky Endpoint Security は、Windows の信頼するルート証明書ストア(Trusted Root Certificate Store)の証明書で署名されたアプリケーションにルールを適用します。このようなアプリケーションは信頼ゾーンに含まれません。保護機能により、このようなアプリケーションの動作が監視されます。
- ブロックに関するメッセージ:アプリケーションの開始をブロックするアプリケーションコントロールルールが適用される際に表示されるメッセージのテンプレート。
- 管理者に送信するメッセージ:アプリケーションが誤ってブロックされたとユーザーが考える場合に、ユーザーが企業 LAN 管理者に送信できるメッセージのテンプレート。
- 変更内容を保存します。コンピューターにポリシーを適用するには、南京錠を閉じます(
)。
製品インターフェイスでブロック対象のアプリケーションモードを有効にする方法
- メインウィンドウで、
をクリックします。 - 本製品の設定ウィンドウで、[セキュリティコントロール]→[アプリケーションコントロール]を選択します。
- [アプリケーションコントロール]をオンにします。
- [アプリケーション起動コントロールモード]ブロックで、[拒否リスト。ルールリストに登録されているもの以外が許可されます]を選択します。
- [ルールによりブロックされたアプリケーションの開始時の操作]で、アプリケーションコントロールの処理を選択します。
- 報告(テストモード)して、次に記録する: レポート:アプリケーションコントロールは、ルールによって実行が禁止されているアプリケーションをブロックしませんが、これ以外でブロックされるアプリケーションの実行に関するイベントを生成します。
- ブロックする:アプリケーションコントロールは、ブロック対象のアプリケーションをブロックし、対応するイベントを生成します。
- アプリケーションコントロールルールのステータスを選択します。
- 有効:このステータスは、アプリケーションコントロールが実行されているときにルールが使用されることを示します。
- 無効:このステータスは、アプリケーションコントロールが実行されているときにルールが無視されることを示します。
- テストモード:このステータスは、ルールが適用されるアプリケーションの起動は常に許可されるが、そのようなアプリケーションの起動についての情報がレポートに記録されることを意味します。
必要に応じて、新しいアプリケーションコントロールルールを追加します。
- アプリケーションコントロールの詳細設定を指定します:
- DLL モジュールの読み込みを監視する:このチェックボックスをオンにすると、ユーザーがアプリケーションの起動を試行した際に、DLL モジュールの読み込みを管理します。DLL モジュールの情報およびこの DLL モジュールを読み込んだアプリケーションの情報が、レポートに記録されます。
どの DLL モジュールとドライバーを読み込むかを管理する機能を有効にする場合、[アプリケーションコントロール]で、既定の[ゴールデンイメージ]ルールまたは「ゴールデンイメージ\信頼済み証明書」KL カテゴリを含み信頼する DLL モジュールとドライバーが Kaspersky Endpoint Security の起動前に読み込まれるように設定した別のルールを有効にしてください。[ゴールデンイメージ]ルールが無効なときに DLL モジュールとドライバーの読み込みの管理を有効にすると、オペレーティングシステムが不安定になる場合があります。
Kaspersky Endpoint Security は、[DLL とドライバーを管理]をオンにした後で読み込まれた DLL モジュールとドライバーのみを監視します。チェックボックスをオンにした後、Kaspersky Endpoint Security の起動前に読み込まれるものも含めすべての DLL モジュールとドライバーを確実に監視するため、コンピューターの再起動を推奨します。
- 厳密なデジタル署名検証を使用する:アプリケーションコントロールルールの適用条件として証明書を選択できます。このチェックボックスをオンにすると、Kaspersky Endpoint Security は、信頼するシステム証明書ストアの証明書で署名されたアプリケーションにのみルールを適用します。このような証明書で署名されたアプリケーションは、さらに、マルウェアのスキャンタスクなどの保護機能によって信頼されていると判断されます。ただし、アプリケーションコントロールルールで別のストアの証明書を指定した場合、そのルールは適用されません。
チェックボックスをオフにすると、Kaspersky Endpoint Security は、Windows の信頼するルート証明書ストア(Trusted Root Certificate Store)の証明書で署名されたアプリケーションにルールを適用します。このようなアプリケーションは信頼ゾーンに含まれません。保護機能により、このようなアプリケーションの動作が監視されます。
- アプリケーションのブロックに関するメッセージのテンプレートです:アプリケーションの開始をブロックするアプリケーションコントロールルールが適用される際に表示されるメッセージのテンプレート。
- アプリケーションの起動のブロック時に表示されるメッセージテキストのテンプレートです:アプリケーションが誤ってブロックされたとユーザーが考える場合に、ユーザーが企業 LAN 管理者に送信できるメッセージのテンプレート。
- 変更内容を保存します。
その結果、アプリケーションコントロールはブロック対象のアプリケーションをブロックします。Kaspersky Endpoint Security は、[アプリケーションの起動が禁止されました]のイベントも生成します。Kaspersky Security Center コンソールで、これらのイベントを使用して、ブロック対象アプリケーションのレポートのレポートを生成できます。レポートの概要では、アプリケーションコントロールルールが適用されたアプリケーションとコンピューターのリストを確認できます。
ページのトップに戻る