実行ファイルのブロック
特定のアプリケーションの実行を制限することは、IT管理者にとって最も困難なタスクの一つです。Endpoint Centralは、実行ファイルのブロック機能によってこうしたタスクを簡単に実行できるようにします。実行ファイルのブロック機能について、詳細はこちらのナレッジをご覧ください。
禁止ソフトウェア機能との差異
アプリケーション/実行ファイルを指定し、特定の管理対象PCに対して制限を適用します。類似の機能に「禁止ソフトウェア」機能がありますが、禁止ソフトウェア機能は管理対象において検出されたアプリケーションを使用禁止する(さらに、必要に応じて強制アンインストールする)機能であるのに対して、実行ファイルのブロック機能は指定したファイルが実行された時点でブロックします。notepad.exeやputty.exeなど、管理対象PCにインストールせずに実行できる実行ファイルに対してもブロックが可能です。
サポートされるファイル形式と対象ファイルの指定方法
実行ファイルのブロック機能は、Windowsの「ソフトウェア制限ポリシー」でサポートされているフォーマットのファイルに対して適用可能です。ブロック対象のアプリケーション/実行ファイルを指定する方法は以下の2種類があります。
実行ファイルのブロックには、以下の前提条件を満たす必要があります。
- ローカルグループポリシーが対象マシンにおいて有効化されている
- ローカルグループポリシーが対象コンピューターにおいて有効化されている
- デフォルトのセキュリティポリシーが無制限に設定されている
- 管理者に対して、ローカルグループポリシーが有効化されている
パスを指定する
実行ファイルをブロックする場合にこの方法を選択できます。パスを指定するルールは、実行ファイルのファイル名と拡張子を基準にブロックします。そのため、指定したアプリケーションの実行ファイルの名前が変更された場合、実行はブロックされません。
ハッシュ値を指定する
ハッシュ値は実行ファイルごとにユニークな値を取るため、実行ファイル名が変更された場合でも、指定した実行ファイルをブロックできます。ハッシュ値を指定するルールを作成する場合、Endpoint Centralサーバーで実行ファイルのハッシュ値を計算する必要があるため、実行ファイルをアップロードする必要があります。
ポリシーの作成/削除
特定の管理対象PCで実行ファイルをブロックしたい場合は、ポリシーを作成する必要があります。ポリシーを作成する最初のステップにおいて、対象を選択します。既にポリシー登録をしたことがある実行ファイルについては、実行ファイルをリストから選択します。初めてブロックする実行ファイルについては、実行ファイルをアップロードし、パスまたはハッシュ値を指定します。
同一の実行ファイルについて、パスを指定するポリシーとハッシュ値を指定するポリシーの両方を作成することができます。ポリシーは対象PCが再起動後にはじめて適用されます。また、不要なポリシーを削除することもできます。
すべての管理対象PCで実行ファイルをブロックする
Endpoint Centralは、デフォルトで全ての管理対象PCを含むカスタムグループ「All Managed Computers」があります。すべての管理対象PCにおいてポリシーを適用したい場合は、このグループを選択した上で実行ファイルを指定します。
特定のPCで実行ファイルをブロックする
管理対象PCのうち、一部のPCにおいてポリシーを適用したい場合は、カスタムグループを新たに作成するか、既存のカスタムグループを選択します。コンピューターを含む静的グループまたはユニークグループを指定できます。
※実行ファイルのブロック機能は、システムによって開始される実行ファイルのブロックには対応しておりません。