Endpoint Central オンプレミス版 ナレッジベース

実行ファイルのブロック


確認ビルド: Desktop Central 10.1.2138.19

実行ファイルのブロック

Desktop Central の「実行ファイルのブロック」機能は、管理対象の Windows に対して登録した exe / msi / bat ファイルの実行をブロックします。 Windows の「ソフトウェア制限ポリシー」でサポートされているすべてのファイル形式に対応しています。
なお、指定したソフトウェア使用を禁止し、実行された場合の通知や自動アンインストールを設定する場合は、禁止ソフトウェアの設定をご覧ください。

このナレッジで説明している方法は、Windows 10 build 1803 以降の Windows 10/11、および Windows Server 2019 以降の Windows Server ではご利用いただけません。
これは、このナレッジで説明している方法が依存している「Software Restriction Policies (ソフトウェア制限ポリシー)」について、上記のOSに対してはMicrosoft社によるサポートが終了したためです。
 
Windows 10 build 1803 以降の Windows 10/11、および Windows Server 2019 以降の Windows Server をご利用の場合、こちらのページより「レジストリ編集の利用例」をご覧ください。
前提条件

以下の条件をすべて満たす必要があります。

 


対象の指定方法

ブロック対象の指定方法には、2種類あります。

  • パスルールの使用: 実行可能ファイルの名前およびファイルの拡張子に基づいて、指定されたアプリケーションのすべてのバージョンをブロックします。
  • ハッシュ値の使用: 実行可能ファイルをDesktop Centralサーバーにアップロードし、ハッシュ値を計算します。この方法を使用すると、実行ファイル名を変更してもブロックが可能になります。
Desktop Centralでは、ブラックリスト方式でアプリケーション実行を禁止します。実際の運用では、このアプリケーション禁止機能とインベントリレポートやアラートで把握される「新しくインストールされたソフトウェア」を組み合わせて、組織内のソフトウェアを制御します。

 


実行ファイルのブロックの設定手順
  1. インベントリタブ > アプリケーション制御 > 実行ファイルのブロック をクリックして開きます。
  2. [ポリシーの追加]をクリックします。
  3. ポリシーの対象となるカスタムグループを選択、または新規に作成します(すべてのコンピューターを選択する場合は、All Computers Groupを選択します)。必要に応じて 説明の追加 をクリックし、説明を入力します。
  4. [実行ファイルの追加]をクリックします。
    • アプリケーション名を入力します(既にアップロード済の実行ファイルを選択する場合は、「保存された実行ファイル」を選択します)。
    • ブロックルールをPathまたはHashから選択します。
      • Pathを選択した場合、実行ファイル名を入力します。
      • Hashを選択した場合、バージョンを入力し、実行ファイルをアップロードします。ハッシュ値は自動的に計算されます。
      • 入力後、[追加]をクリックします。
    • アプリケーションが追加されたのを確認後、[追加]をクリックします。

以上で、実行ファイルのブロックを設定できます。追加後、次のリフレッシュサイクルにおいて適用されます。

 


実行ファイルのブロックの解除方法

ポリシーの削除後、次のリフレッシュサイクルにおいてブロックが解除されます。

 


トラブルシューティング

Desktop Central の実行ファイルのブロック機能は、指定した実行ファイルをブロックするよう、管理対象 Windows コンピューターのセキュリティポリシーに書き込みます。そのため、実際のブロックは Windows OS が担っています。
ブロックした実行ファイルを実行しようとすると、以下のような表示となり、ブロックします。

ADドメインに参加しているコンピューターで、実行ファイルのブロックが適用されない

適用後、対象のコンピューターを再起動を実行して再度確認します。

 

ローカルグループポリシーを有効化する方法

管理対象PCで、以下の手順を実行する必要があります。

  1. スタート > ファイル名を指定して実行 > gpedit.msc と入力します。
  2. ローカルグループポリシーエディターにおいて、ローカルコンピューターポリシー > コンピューターの構成 > 管理用テンプレート > システム > グループポリシー > ローカルグループポリシーオブジェクトの処理を無効にする をダブルクリックします。
  3. 「未構成」が選択されていることを確認し、OKをクリックします。
  4. 続いて、ローカルグループポリシーエディターにおいて、ローカルコンピューターポリシー を右クリック > プロパティ を開きます。
  5. 無効 > コンピューターの構成の設定を無効にする にチェックが入っていないことを確認します。
  6. OKをクリックします。

以上で、ローカルグループポリシーが有効になります。

デフォルトのセキュリティポリシーを「無制限」に設定する方法

管理対象PCで、以下の手順を実行する必要があります。

  1. スタート > ファイル名を指定して実行 > gpedit.msc と入力します。
  2. ローカルグループポリシーエディター > コンピューターの構成 > Windowsの設定 > セキュリティの設定 > ソフトウェアの制限ポリシー > セキュリティレベル を開きます。
  3. 「制限しない」をダブルクリックします。
  4. 「状態: 既定のセキュリティレベル」であることを確認します。異なる場合は、 既定値として設定 をクリックします。

以上で、ローカルグループポリシーが有効になります。

管理者のローカルグループポリシーを有効にする方法

管理対象PCで、以下の手順を実行する必要があります。

  1. スタート > ファイル名を指定して実行 > gpedit.msc と入力します。
  2. ローカルグループポリシーエディター > コンピューターの構成 > Windowsの設定 > セキュリティの設定 > ソフトウェアの制限ポリシー > 強制 をダブルクリックします。
  3. 強制のプロパティにおいて、ソフトウェアの制限のポリシーの適用ユーザー: すべてのユーザー が選択されていることを確認します。

以上で、管理者のローカルグループポリシーが有効になります。