アプリケーション制御へのカスタムルールの追加

デフォルトルールセットが必要条件を満たしていない場合は、新しいルールセットとルールを追加します。ポリシーと一緒にインストールされた事前定義済みのルールセットを変更することもできます。
  • ルールセットは、処理を許可またはブロックする 1 つ以上のルールを保持するコンテナです。
  • ルールセットのルールは 1 つ以上のプロセスまたはアプリケーションを定義します。監視からプロセスを除外することもできます。
  • 各ルールには、指定の 1 つのプロセスまたは複数のプロセスに適用される条件と処理が含まれます。各条件に対し、条件が満たされたときに実行する処理を設定できます。特定のアプリケーションにだけ適用されるようにルールを設定し、他のアプリケーションを処理の適用対象から除外することもできます。
独自のアプリケーションルールを追加するには、次の手順を実行します。
ステップ 1: カスタムルールセットとルールを追加する
ベストプラクティスは、1 つのルールセットを作成し、その中に指定したタスクを許可、遮断、監視するすべての処理を含めることです。一方、複数のタスクがある場合は、複数のルールセットを作成する必要があります。たとえば、すべてのリムーバブルドライブへの書き込みを遮断し、アプリケーションが特定のアプリケーションを改変することも遮断する場合は、2 つのルールセットを作成する必要があります。ルールセットとルールは必要な数だけ追加し、有効にできます。
たとえば、BitTorrent はピアツーピアのファイル共有に使用される通信プロトコルで、安全ではありません。BitTorrent は、ムービー、ゲーム、ミュージックなどのファイルを配布します。BitTorrent は脅威を拡散させる非常に単純な方法の 1 つです。マルウェアはピアツーピアネットワークで共有されるファイルに隠されています。アプリケーション制御を使うと、BitTorrent プロトコルへのアクセスを遮断できます。ピアツーピア認証と侵入防止を使うこともできます。ピアツーピア認証の設定によるリモートコンピュータの遮断
ルールを設定する場合には、予期しない結果にならないようにルールとその条件の順序を考慮してください。通常は、詳しい知識のある管理者のみが、このタスクを実行してください。
カスタムルールセットとルールを追加するには
  1. アプリケーション制御ポリシーを開きます。
  2. [アプリケーション制御]
    パネルのデフォルトルールセットのリストで、
    [追加]
    をクリックします。
    事前定義済みのルールセットを修正するには、ルールセットを選択して
    [編集]
    をクリックします。たとえば、BitTorrent プロトコルにアクセスするアプリケーションを監視するには、
    [リムーバブルドライブからのプログラムの実行を遮断する [AC2]]
    を選択します。
  3. [アプリケーション制御ルールセットの追加]
    ダイアログボックスにルールセットの名前と説明を入力します。
  4. [ルール]で
    [ルール 1]
    を選択して
    [プロパティ]
    ページでルールのわかりやすい名前と説明を入力します。
    その他のルールを追加するには、
    [追加]
    [ルールの追加]
    の順にクリックします。
ステップ 2: ルールのアプリケーションまたはプロセスを定義する
各ルールには、クライアントコンピュータ上で監視する少なくとも 1 つのアプリケーションまたはプロセスが含まれている必要があります。また、ルールから特定のアプリケーションを除外できます。
ルールのアプリケーションまたはプロセスを定義するには
  1. ルールを選択した状態で、
    [プロパティ]
    ページの
    [このルールを次のプロセスに適用する]
    の横にある
    [追加]
    をクリックします。
  2. [プロセス定義の追加]
    ダイアログボックスで、アプリケーション名またはプロセス名を
    textpad.exe
    のように入力します。
    指定されたアプリケーションのセットを除いてすべてのアプリケーションにルールを適用する場合は、この手順ですべてを意味するワイルドカード (*) を定義します。例外とする必要のあるアプリケーションを、
    [このルールを次のプロセスに適用しない]
    の横に一覧表示します。
  3. [OK]
    をクリックします。
    [このルールを有効にする]
    チェックボックスは、デフォルトで有効になっています。このオプションのチェックマークをはずすと、ルールは適用されません。
ステップ 3: ルールに条件と処理を追加する
条件は、クライアントコンピュータ上で実行が試行されるアプリケーションまたはプロセスの動作を制御します。各条件の種類には、条件の検索対象を指定する独自のプロパティがあります。
各条件には独自の処理が含まれ、条件に該当する場合にプロセスが実行されます。プロセス終了処理を除いて、処理は常に条件ではなくルールに対して定義されたプロセスに適用されます。
警告:
プロセスの
終了
処理によって、呼び出し側プロセス、または要求を行ったアプリケーションが終了します。呼び出し側プロセスとは、条件ではなくルールで定義するプロセスのことです。その他の処理は、条件内で定義された対象プロセスに作用します。
条件
説明
レジストリアクセスの試み
クライアントコンピュータのレジストリ設定へのアクセスを許可または遮断します。
ファイルやフォルダのアクセスの試み
クライアントコンピュータ上の定義されたファイルやフォルダに対するアクセスを許可または遮断します。
プロセス起動の試み
クライアントコンピュータ上でのプロセスの起動機能を許可または遮断します。
プロセス終了の試み
クライアントコンピュータ上でのプロセスの終了機能を許可または遮断します。たとえば、特定のアプリケーションを停止する動作を遮断しようと考える場合があります。
警告:
プロセス
終了
の試みの条件は、ターゲットプロセスを示します。Symantec Endpoint Protection または別の重要なプロセスで
[プロセス終了の試み]
条件を使う場合は、[プロセスを終了]処理を使って Symantec Endpoint Protection を強制終了しようとするプロセスを強制終了します。
DLL ロードの試み
クライアントコンピュータ上での DLL のロード動作を許可または遮断します。
  1. [ルール]
    下で、追加したルールを選択し、
    [追加]
    >
    [条件の追加]
    の順にクリックして条件を選択します。
    たとえば、
    [プロセス起動の試み]
    をクリックすると、クライアントコンピュータが BitTorrent プロトコルにアクセスするタイミングに関する条件を追加できます。
  2. [プロパティ]
    タブで、起動する必要があるプロセスと起動しないプロセスを選択します。
    • 起動するプロセスを指定するには
      [次の
      エンティティ
      に適用する]
      の横にある
      [追加]
      をクリックします。
    • プロセスを起動対象から除外するには
      [次のプロセスに適用しない]
      の横にある
      [追加]
      をクリックします。
  3. エンティティ
    定義の追加]
    ダイアログボックスで、プロセス名、DLL、またはレジストリキーを入力します。
    たとえば、BitTorrent を追加するには、ファイルパスと実行可能ファイルを次のように入力します。
    C:\Users\UserName\AppData\Roaming\BitTorrent
    条件を特定のフォルダ内のすべてのエンティティに適用するには、ベストプラクティスとして、
    folder_name
    \* または
    folder_name
    \*\* を使います。1 つのアスタリスクには、名前付きフォルダ内のすべてのファイルとフォルダが包含されます。名前付きフォルダ内のすべてのファイルとフォルダに加え、すべてのサブフォルダ内のファイルとフォルダを含めるには、
    folder_name
    \*\* を使います。
  4. [OK]
    をクリックします。
  5. 条件の
    [処理]
    タブで、実行する処理を選択します。
    たとえば、Textpad が Firefox を起動する試みを遮断するには、
    [アクセスを遮断する]
    をクリックします。
  6. [ログ記録を有効にする]
    [ユーザーに通知]
    にチェックマークを付けて、クライアントコンピュータがユーザーに対して表示するメッセージを入力します。
    たとえば、「
    Textpad が Firefox を起動しようとします
    」と入力します。
  7. [OK]
    をクリックします。
    新しいルールセットが表示され、テストモードに設定されます。クライアントコンピュータに適用する前に、新しいルールセットをテストしてください。