アプリケーション制御ルールの追加のベストプラクティス

カスタムアプリケーション制御ルールは、慎重に計画する必要があります。アプリケーション制御ルールを追加するときは、次のベストプラクティスに留意してください。
アプリケーション制御ルールのベストプラクティス
ベストプラクティス
説明
ルールの順序を考慮する
アプリケーション制御ルールは、最初に一致したルールが適用されるという点で、ほとんどのネットワークベースファイアウォールルールと同様に動作します。複数の条件が該当する場合、最初のルールだけが適用されます。ただし、そのルールに設定されている処理が
[他のルールの処理を続ける]
である場合を除きます。
すべてのユーザーが、USB ドライブ上のファイルを移動、コピー、作成できないようにします。
Test.doc という名前のファイルへの書き込みアクセスを許可する条件が含まれた既存のルールがあります。この既存のルールセットに対して 2 つ目の条件を追加し、すべての USB ドライブを遮断します。このシナリオでは、ユーザーは引き続き USB ドライブ上の Test.doc ファイルを作成、変更できます。Test.doc への
[アクセスを許可する]
という条件は、ルールセットにおいて、USB ドライブへの
[アクセスを遮断する]
という条件の前に現れます。USB ドライブへの
[アクセスを遮断する]
という条件は、リストでこの条件よりも前に現れる条件が該当するときには処理されません。
正しい処理を使う
[プロセス終了の試み]
条件は、クライアントコンピュータ上でのアプリケーションによる呼び出しプロセスの終了を許可または遮断します。
この条件は、ユーザーが[◎ファイル◎]メニューから[◎中止する◎]をクリックするなどの通常の方法でアプリケーションを停止することを許可または防止しません。
Process Explorer は、開かれているまたはロードされている DLL プロセスと、そのプロセスが使っているリソースを表示するツールです。
Process Explorer が特定のアプリケーションを終了しようと試みているとき、Process Explorer を終了することができます。
[プロセス終了の試み]
条件と
[プロセスを終了する]
処理を使って、この種類のルールを作成します。Process Explorer アプリケーションに条件を適用します。Process Explorer で終了しない、1 つまたは複数のアプリケーションにルールを適用します。
目的ごとに 1 つのルールセットを使う
指定したタスクを許可、遮断、監視するすべての処理を含んだ 1 つのルールセットを作成します。
すべてのリムーバブルドライブへの書き込みを遮断し、アプリケーションが特定のアプリケーションを改変することを遮断できます。
これらの目的を実現するため、1 つのルールセットではなく、2 つの異なるルールセットを作成します。
[プロセスを終了する]
処理を控えめに使う
[プロセスを終了する]
処理は、呼び出しプロセスが設定された条件を満たした場合に、プロセスを強制終了します。
[プロセスを終了する]
処理を使うのは、詳しい知識のある管理者のみにしてください。通常は、代わりに
[アクセスを遮断する]
処理を使ってください。
プロセスが Winword.exe を起動したときはいつでも、Winword.exe を終了したいと考えているとします。
これは、ルールを作成し、
[プロセス起動の試み]
条件と
[プロセスを終了する]
処理を使って設定します。条件を Winword.exe に適用し、ルールをすべてのプロセスに適用します。
このルールが Winword.exe を終了すると考えるかもしれませんが、これはこのルールが行う処理ではありません。Windows エクスプローラから Winword.exe を開始しようとすると、この設定を含むルールによって Winword.exe ではなく Explorer.exe が終了します。ユーザーが直接 Winword.exe を起動する場合は、Winword.exe は実行可能な状態のままです。代わりに、対象プロセスまたは Winword.exe を遮断する、
[アクセスを遮断する]
処理を使います。
ルールを実働状態にする前にテストする
ルールセットの
[テスト (ログのみ)]
オプションを設定すると処理がログに記録されます。クライアントコンピュータに処理を適用することはありません。実働モードに切り替える前に、許容できる一定期間ルールをテストモードで実行します。この期間中に、アプリケーション制御ログを見直して、ルールが予定どおりに機能することを検証します。
テストのオプションにより、ルールを適用すると発生する可能性がある結果をすべて検討できなかった場合でも潜在的なエラーが減少します。次のサイトを参照してください。
詳しい情報