ルールに使う条件を選択するためのベストプラクティス

ユーザーがアプリケーションを開いたり、ファイルに書き込んだり、ファイルを共有したりできないようにするために、カスタムアプリケーション制御ルールと条件を追加します。デフォルトのルールセットを見れば、ルールを設定する方法を決定する場合に役立ちます。たとえば、
[アプリケーションの実行を遮断する]
ルールセットを編集して、
[プロセス起動の試み]
条件の使い方を確認できます。次のサイトを参照してください。
ルールに使う一般的な条件
ルール
条件
ユーザーがアプリケーションを開けないようにする
これらの条件のいずれかを満たす場合に、アプリケーションを遮断できます。
  • プロセス起動の試み
    たとえば、ユーザーが FTP ファイルを転送できないようにするには、ユーザーに FTP クライアントを起動させないルールをコマンドプロンプトから追加できます。
  • DLL ロードの試み
    たとえば、クライアントコンピュータの Msvcrt.dll を遮断するルールを追加した場合、ユーザーは Microsoft WordPad を開くことができません。ルールはまた、DLL を使うその他のアプリケーションもすべて遮断します。
ユーザーが特定のファイルに書き込めないようにする
ユーザーがファイルを開くことができても、ファイルを修正できないようにすることができます。たとえば、ファイルには、従業員が確認する必要があっても編集できない財務データが含まれる場合があります。
ユーザーにファイルへの読み取り専用アクセスを与えるルールを作成できます。たとえば、メモ帳でテキストファイルを開くことはできるが、編集はできないルールを追加できます。
この種類のルールには、
[ファイルやフォルダのアクセスの試み]
条件を使います。
Windows コンピュータでファイル共有を遮断する
Windows コンピュータでローカルファイルとプリンタの共有を無効にできます。
次の条件を含めます。
  • レジストリアクセスの試み
    適切な Windows セキュリティおよび共有するレジストリキーをすべて追加します。
  • プロセス起動の試み
    サーバーサービス処理 (svchost.exe) を指定します。
  • DLL ロードの試み
    [セキュリティ]および[共有]タブで DLL を指定します(rshx32.dll、ntshrui.dll)。
  • DLL ロードの試み
    サーバーサービス DLL(srvsvc.dll)を指定します。
各条件の処理を
[アクセスを遮断する]
に設定します。
また、ファイアウォールルールを使って、クライアントコンピュータに対してファイルの共有を禁止するか共有するかを指定できます。次のサイトを参照してください。
ユーザーがピアツーピアアプリケーションを実行できないようにする
ユーザーが各自のコンピュータでピアツーピアアプリケーションを実行しないようにできます。
[プロセス起動の試み]
条件で、カスタムルールを作成できます。条件では、LimeWire.exe や *.torrent など、遮断するすべてのピアツーピアアプリケーションを指定する必要があります。各条件の処理を
[アクセスを遮断する]
に設定します 。
侵入防止ポリシーを使って、ピアツーピアアプリケーションからのネットワークトラフィックを遮断します。ファイアウォールポリシーを使って、ピアツーピアアプリケーショントラフィックを送受信するポートを遮断します。次のサイトを参照してください。
DVD ドライブへの書き込み試行を遮断する
現在、アプリケーション制御には CD/DVD の書き込みを直接遮断するデフォルトルールがありません。代わりに、
[条件の追加]
[ファイルやフォルダのアクセスの試み]
条件を使って、CD または DVD ドライブに書き込む特定の DLL を遮断するルールを作成します。
DVD ドライブに書き込む試行を遮断するには Windows のレジストリキーを設定するホストインテグリティポリシーも作成してください。次のサイトを参照してください。