Ctrlk
HomepageSystem Status
For the complete documentation index, see llms.txt. This page is also available as Markdown.

ポリシー: パス変数と保護パス

変数
Windowsの例
Linuxの例
macOSの例
説明

{rootdir}

C:\

/

/

ドライブまたはファイルシステムのルート

{documents}

C:\Users\<user>\Documents

/home/<user>/Documents

/Users/<user>/Documents

ユーザーのドキュメントフォルダ

{userdocuments}

{documents} と同じ

{documents} と同じ

{documents} と同じ

ドキュメントの別名

{userdesktop}

C:\Users\<user>\Desktop

/home/<user>/Desktop

/Users/<user>/Desktop

ユーザーのデスクトップ

{hasdesktop}

"true" / "false"

"true" / "false"

"true" / "false"

デスクトップ環境の有無

変数
一般的な値
説明

{systemroot}

C:\Windows

Windowsディレクトリ

{windows}

C:\Windows

systemrootの別名

{systemdrive}

C:

システムドライブ (末尾のバックスラッシュなし)

{system32}

C:\Windows\System32

System32ディレクトリ

{syswow64}

C:\Windows\SysWOW64

64ビットWindows上の32ビットシステム領域

{programfiles}

C:\Program Files

Program Files

{programfilesx86}

C:\Program Files (x86)

Program Files (x86)

{userprofile}

C:\Users\<user>

ユーザープロファイルディレクトリ

{appdata}

C:\Users\<user>\AppData\Roaming

ローミングAppData

{localappdata}

C:\Users\<user>\AppData\Local

ローカルAppData

{programdata}

C:\ProgramData

ProgramData

{temp}

C:\Users\<user>\AppData\Local\Temp

ユーザー用一時ディレクトリ

変数
説明

{system}

/System

システムルート

{library}

/Library

ライブラリ

{applications}

/Applications

アプリケーションフォルダ

{volumes}

/Volumes

ボリュームのマウントポイント

{downloads}

/Users/<user>/Downloads

ユーザーのダウンロード

{launchdaemons}

/Library/LaunchDaemons

システム用LaunchDaemon

{launchagents}

/Library/LaunchAgents

Launchエージェント

変数
Linuxの例
macOSの例
説明

{bin}

/bin

/bin

実行ファイル

{etc}

/etc

/etc

設定

{tmp}

/tmp

/tmp

一時領域

{usr}

/usr

/usr

ユーザープログラム

{var}

/var

/var

可変データ

{home}

/home/<user>

/Users/<user>

ユーザーホーム

変数
説明
例 (Windows)

{approot}

アプリケーションのルートディレクトリ

C:\Program Files\KeeperPrivilegeManager

{pluginroot}

プラグインディレクトリ

C:\Program Files\KeeperPrivilegeManager\Plugins

{jobroot}

ジョブディレクトリ

C:\Program Files\KeeperPrivilegeManager\Jobs

パス変数は、{userprofile}{system32} のように、各マシン上の実パスへと展開されるプレースホルダです。対応OSやインストール先が異なる環境でも、1本のポリシーやジョブのまま扱えます。

  • 形式: {variableName} は中括弧で囲み、$ 接頭辞は付けません。

  • 大文字と小文字: Windowsでは区別されません。LinuxおよびmacOSでは区別されます。

  • 解決のタイミング: ファイル保存時ではなく、評価時 (ポリシーまたはジョブが実行されるとき) に解決されます。

共通のパス変数 (全プラットフォーム)

変数
Windowsの例
Linuxの例
macOSの例
説明

{rootdir}

C:\

/

/

ドライブまたはファイルシステムのルート

{documents}

C:\Users\<user>\Documents

/home/<user>/Documents

/Users/<user>/Documents

ユーザーのドキュメントフォルダ

{userdocuments}

{documents} と同じ

{documents} と同じ

{documents} と同じ

ドキュメントの別名

{userdesktop}

C:\Users\<user>\Desktop

/home/<user>/Desktop

/Users/<user>/Desktop

ユーザーのデスクトップ

{hasdesktop}

"true" / "false"

"true" / "false"

"true" / "false"

デスクトップ環境の有無

Windows固有のパス変数

変数
一般的な値
説明

{systemroot}

C:\Windows

Windowsディレクトリ

{windows}

C:\Windows

systemrootの別名

{systemdrive}

C:

システムドライブ (末尾のバックスラッシュなし)

{system32}

C:\Windows\System32

System32ディレクトリ

{syswow64}

C:\Windows\SysWOW64

64ビットWindows上の32ビットシステム領域

{programfiles}

C:\Program Files

Program Files

{programfilesx86}

C:\Program Files (x86)

Program Files (x86)

{userprofile}

C:\Users\<user>

ユーザープロファイルディレクトリ

{appdata}

C:\Users\<user>\AppData\Roaming

ローミングAppData

{localappdata}

C:\Users\<user>\AppData\Local

ローカルAppData

{programdata}

C:\ProgramData

ProgramData

{temp}

C:\Users\<user>\AppData\Local\Temp

ユーザー用一時ディレクトリ

macOS固有のパス変数

変数
説明

{system}

/System

システムルート

{library}

/Library

ライブラリ

{applications}

/Applications

アプリケーションフォルダ

{volumes}

/Volumes

ボリュームのマウントポイント

{downloads}

/Users/<user>/Downloads

ユーザーのダウンロード

{launchdaemons}

/Library/LaunchDaemons

システム用LaunchDaemon

{launchagents}

/Library/LaunchAgents

Launchエージェント

LinuxおよびmacOS共通のパス変数

変数
Linuxの例
macOSの例
説明

{bin}

/bin

/bin

実行ファイル

{etc}

/etc

/etc

設定

{tmp}

/tmp

/tmp

一時領域

{usr}

/usr

/usr

ユーザープログラム

{var}

/var

/var

可変データ

{home}

/home/<user>

/Users/<user>

ユーザーホーム

アプリケーション固有のパス変数

以下は、エンドポイント特権マネージャーのインストール位置を基準に解決されます。

変数
説明
例 (Windows)

{approot}

アプリケーションのルートディレクトリ

C:\Program Files\KeeperPrivilegeManager

{pluginroot}

プラグインディレクトリ

C:\Program Files\KeeperPrivilegeManager\Plugins

{jobroot}

ジョブディレクトリ

C:\Program Files\KeeperPrivilegeManager\Jobs

インストール場所が変わってもパスを正しく保てるよう、プラグインの構成やジョブのパスに指定します。

ユーザー固有とシステムの変数

  • ユーザー固有: {userprofile}{documents}{userdesktop}{appdata}{temp}{home}{downloads} は、要求を出したユーザーのパス (例: 操作によってポリシー評価が走ったユーザー) に解決されます。

  • システム: {systemroot}{system32}{programfiles}{programdata}{bin}{etc} は、そのマシン上のすべてのユーザーで同じパスに解決されます。

カスタムパス変数

一部の環境では、カスタムのパス変数 (例: アプリケーションまたはパス解決の設定) が利用できます。利用できる場合は、{companyshare}{deployroot} のような名前を定義し、組み込み変数と同様にポリシーやジョブから参照できます。定義場所は、ご利用の構成または管理コンソールをご確認ください。

保護パス

保護パスはファイルアクセスポリシーに不可欠

保護パスは、ファイルアクセスポリシーの評価に組み込まれた安全装置です。ファイルアクセスポリシーでワイルドカード (たとえばフォルダ内のすべての *.exe を拒否する) を使うと、C:\Windows\System32/usr/bin などのシステムディレクトリ内の重要なOSバイナリにまで意図せず一致し、通常のOS動作を損なう可能性があります。これを防ぐため、プラットフォームごとに保護ディレクトリの一覧が維持され、ワイルドカードによるファイルアクセス DENY ポリシーはパターンがどれほど広くても、これらのディレクトリでは自動的に適用されません。明示的なパスポリシーは保護の有無に関わらず常に評価されるため、必要に応じて保護ディレクトリ内の特定の実行ファイルに対してもファイルアクセス制御を適用できます。

Windowsでは、特定のパスが保護されています。この種のパス上にある実行ファイルは、ワイルドカードのファイルアクセス DENY ポリシーのブロック対象に含まれず、重要なシステム実行ファイルが誤ってブロックされにくくなります。保護パスとして想定される例は以下のとおりです。

  • {systemroot} (およびSystem32、WinSxS、Microsoft.NET、Boot、recoveryなどの主要なサブディレクトリ)

  • {programfiles} および {programfilesx86}

構成やポリシーにより、保護パスの一覧を拡張できます。ファイルアクセスポリシーを設計するときは、システムの実行ファイルを誤って拒否しないようご注意ください。

Linuxの既定の保護パス

以下のパス上の実行ファイルは、ワイルドカードによるファイルアクセス DENY ポリシーの対象外です。保護はすべてのサブディレクトリに再帰的に適用されます。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。

パス
説明

/bin

必須のシステムバイナリ

/sbin

システム管理用バイナリ

/usr/bin

ユーザー向けシステムユーティリティ

/usr/sbin

システム管理ユーティリティ

/usr/lib

システム共有ライブラリ

/usr/libexec

システムデーモンの実行ファイル

/lib

必須の共有ライブラリ

/lib64

64ビット必須の共有ライブラリ

/etc

システム構成ファイル

/etc/passwd

ユーザーアカウントデータベース

/etc/shadow

暗号化されたユーザーパスワードストア

/etc/sudoers

sudo 特権の構成

/boot

ブートローダーとカーネルファイル

/dev

デバイスファイル

/proc

カーネルおよびプロセス情報 (仮想ファイルシステム)

/sys

ハードウェアおよびドライバー情報 (仮想ファイルシステム)

/opt/keeper

エンドポイント特権マネージャーのインストールディレクトリ

Linuxの高リスクパス

以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、認証が破損したり、システムの初期化が無効になったり、起動不能になる可能性があります。

パス
説明
リスク

/etc/passwd

ユーザーアカウントデータベース

破損するとシステム全体のユーザー認証が機能しなくなる

/etc/shadow

暗号化されたユーザーパスワードストア

破損するとすべてのユーザーのパスワードログインができなくなる

/bin/sh

既定のシステムシェル

破損すると sh に依存するスクリプト、システム初期化、復旧ツールが動作しなくなる

/sbin/init

システム初期化プロセス (PID 1)

破損するとOSが起動しなくなる

アプリケーションとフォルダのフィルターでのワイルドカードの振る舞いと注意点の詳細は、ポリシー: ワイルドカードをご参照ください。

汎用Unixの既定の保護パス

以下のパスは、プラットフォーム固有の一覧が定義されていないUnix系環境向けのフォールバック保護ディレクトリセットです。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。

パス
説明

/bin

必須のシステムバイナリ

/sbin

システム管理用バイナリ

/usr/bin

ユーザー向けシステムユーティリティ

/usr/sbin

システム管理ユーティリティ

/etc

システム構成ファイル

/dev

デバイスファイル

/proc

カーネルおよびプロセス情報 (仮想ファイルシステム)

/sys

ハードウェアおよびドライバー情報 (仮想ファイルシステム)

macOSの既定の保護パス

以下のパス上の実行ファイルに対しては、ワイルドカードによるファイルアクセス DENY ポリシーが適用されません。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。

パス
説明

/System

macOSのシステムルートおよびすべてのサブディレクトリ

/bin

必須のシステムバイナリ

/sbin

システム管理用バイナリ

/usr/bin

ユーザー向けシステムユーティリティ

/usr/sbin

システム管理ユーティリティ

/private/etc

システム構成ファイル

/Library/Security

セキュリティフレームワーク

/Applications/Utilities

組み込みユーティリティアプリ

/Applications

メインのApplicationsフォルダ内のすべてのアプリ

/System/Applications

組み込みmacOSアプリ

macOSの高リスクパス

以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、コアOSサービスが破損したり、認証が機能しなくなったり、起動不能になる可能性があります。

パス
説明
リスク

/System/Library/CoreServices

Finder、WindowServer、起動コンポーネントなどのコアmacOSシステムサービス

破損するとシステム起動、GUI環境、またはその両方が機能しなくなる

/private/etc

システム構成ファイル (/etc としてもアクセス可能)

passwdsudoershosts などのファイルを破損すると、認証、特権の解決、ネットワークの動作が機能しなくなる

/Applications/System/Applications は設計上保護されています。ワイルドカードと明示的なパスポリシーのスコープ設定の考え方の詳細は、macOS保護パスの設計意図をご参照ください。

Windowsの既定の保護パス

以下のパス上の実行ファイルは、ワイルドカードによるファイルアクセス DENY ポリシーの対象外です。保護は再帰的に適用され、すべてのサブディレクトリが含まれます。明示的なパスポリシーは、保護の有無に関わらず常に評価されます。

保護パスの一覧は、保護パスポリシー、または PathResolution ストレージフォルダ配下の UserProtectedDirectories.json / PolicyProtectedDirectories.json ファイルで拡張できます。

変数
解決先 (一般的)
説明

{systemroot}

C:\Windows

Windowsディレクトリのルートおよびすべてのサブディレクトリ

{system32}

C:\Windows\System32

コアシステムバイナリ

{systemroot}\SysWOW64

C:\Windows\SysWOW64

64ビットWindows上の32ビットシステムバイナリ

{systemroot}\WinSxS

C:\Windows\WinSxS

Side-by-Sideコンポーネントアセンブリ

{systemroot}\servicing

C:\Windows\servicing

Windows UpdateおよびServicing Stack

{systemroot}\Microsoft.NET

C:\Windows\Microsoft.NET

.NET Frameworkランタイムファイル

{systemroot}\assembly

C:\Windows\assembly

グローバルアセンブリキャッシュ (GAC)

{systemroot}\Boot

C:\Windows\Boot

ブートマネージャーファイル

{systemroot}\recovery

C:\Windows\recovery

Windows回復環境

{systemroot}\System32\config

C:\Windows\System32\config

レジストリハイブファイル

{systemroot}\System32\drivers

C:\Windows\System32\drivers

カーネルモードデバイスドライバー

{programfiles}

C:\Program Files

インストール済み64ビットアプリ

{programfilesx86}

C:\Program Files (x86)

64ビットWindows上のインストール済み32ビットアプリ

{programfiles}\Windows Defender

C:\Program Files\Windows Defender

Windows Defenderウイルス対策バイナリ

{programfiles}\Windows NT

C:\Program Files\Windows NT

コアWindows NTコンポーネント

N/A

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

システム起動プログラム

Windowsの高リスクパス

以下のパスには重要なシステムファイルが含まれます。ファイルアクセスポリシーで指定しないでください。これらの場所のファイルを変更すると、レジストリが破損したり、ドライバーが不安定になったり、起動不能になる可能性があります。

パス
説明
リスク

C:\Windows\System32\config

レジストリハイブファイル (SYSTEMSAMSECURITYSOFTWARE)

レジストリ破損、システム起動不能

C:\Windows\System32\drivers

カーネルモードデバイスドライバー (.sys ファイル)

ドライバー障害、ブルースクリーン (BSOD)

前へポリシーのステータス次へワイルドカード

最終更新