実行ファイルのブロック
確認ビルド: Desktop Central 10.1.2138.19
実行ファイルのブロック
Desktop Central の「実行ファイルのブロック」機能は、管理対象の Windows に対して登録した exe / msi / bat ファイルの実行をブロックします。 Windows の「ソフトウェア制限ポリシー」でサポートされているすべてのファイル形式に対応しています。
なお、指定したソフトウェア使用を禁止し、実行された場合の通知や自動アンインストールを設定する場合は、禁止ソフトウェアの設定をご覧ください。
これは、このナレッジで説明している方法が依存している「Software Restriction Policies (ソフトウェア制限ポリシー)」について、上記のOSに対してはMicrosoft社によるサポートが終了したためです。
Windows 10 build 1803 以降の Windows 10/11、および Windows Server 2019 以降の Windows Server をご利用の場合、こちらのページより「レジストリ編集の利用例」をご覧ください。
前提条件
以下の条件をすべて満たす必要があります。
- 対象PCで、ローカルグループポリシーが有効化されている
- 対象PCで、デフォルトのセキュリティポリシーが無制限に設定されている
- 管理者に対して、ローカルグループポリシーが有効化されている
- ブロック対象のアプリケーションがデスクトップアプリである(現在、Windows ストアアプリには対応しておりません)
対象の指定方法
ブロック対象の指定方法には、2種類あります。
- パスルールの使用: 実行可能ファイルの名前およびファイルの拡張子に基づいて、指定されたアプリケーションのすべてのバージョンをブロックします。
- ハッシュ値の使用: 実行可能ファイルをDesktop Centralサーバーにアップロードし、ハッシュ値を計算します。この方法を使用すると、実行ファイル名を変更してもブロックが可能になります。
実行ファイルのブロックの設定手順
- インベントリタブ > アプリケーション制御 > 実行ファイルのブロック をクリックして開きます。
- [ポリシーの追加]をクリックします。
- ポリシーの対象となるカスタムグループを選択、または新規に作成します(すべてのコンピューターを選択する場合は、All Computers Groupを選択します)。必要に応じて 説明の追加 をクリックし、説明を入力します。
- [実行ファイルの追加]をクリックします。
以上で、実行ファイルのブロックを設定できます。追加後、次のリフレッシュサイクルにおいて適用されます。
実行ファイルのブロックの解除方法
ポリシーの削除後、次のリフレッシュサイクルにおいてブロックが解除されます。
トラブルシューティング
Desktop Central の実行ファイルのブロック機能は、指定した実行ファイルをブロックするよう、管理対象 Windows コンピューターのセキュリティポリシーに書き込みます。そのため、実際のブロックは Windows OS が担っています。
ブロックした実行ファイルを実行しようとすると、以下のような表示となり、ブロックします。
ADドメインに参加しているコンピューターで、実行ファイルのブロックが適用されない
適用後、対象のコンピューターを再起動を実行して再度確認します。
ローカルグループポリシーを有効化する方法
管理対象PCで、以下の手順を実行する必要があります。
- スタート > ファイル名を指定して実行 > gpedit.msc と入力します。
- ローカルグループポリシーエディターにおいて、ローカルコンピューターポリシー > コンピューターの構成 > 管理用テンプレート > システム > グループポリシー > ローカルグループポリシーオブジェクトの処理を無効にする をダブルクリックします。
- 「未構成」が選択されていることを確認し、OKをクリックします。
- 続いて、ローカルグループポリシーエディターにおいて、ローカルコンピューターポリシー を右クリック > プロパティ を開きます。
- 無効 > コンピューターの構成の設定を無効にする にチェックが入っていないことを確認します。
- OKをクリックします。
以上で、ローカルグループポリシーが有効になります。
デフォルトのセキュリティポリシーを「無制限」に設定する方法
管理対象PCで、以下の手順を実行する必要があります。
- スタート > ファイル名を指定して実行 > gpedit.msc と入力します。
- ローカルグループポリシーエディター > コンピューターの構成 > Windowsの設定 > セキュリティの設定 > ソフトウェアの制限ポリシー > セキュリティレベル を開きます。
- 「制限しない」をダブルクリックします。
- 「状態: 既定のセキュリティレベル」であることを確認します。異なる場合は、 既定値として設定 をクリックします。
以上で、ローカルグループポリシーが有効になります。
管理者のローカルグループポリシーを有効にする方法
管理対象PCで、以下の手順を実行する必要があります。
- スタート > ファイル名を指定して実行 > gpedit.msc と入力します。
- ローカルグループポリシーエディター > コンピューターの構成 > Windowsの設定 > セキュリティの設定 > ソフトウェアの制限ポリシー > 強制 をダブルクリックします。
- 強制のプロパティにおいて、ソフトウェアの制限のポリシーの適用ユーザー: すべてのユーザー が選択されていることを確認します。
以上で、管理者のローカルグループポリシーが有効になります。