AppLocker のアーキテクチャとコンポーネント
IT 担当者を対象としたこのトピックでは、AppLocker の基本アーキテクチャとその主要なコンポーネントについて説明します。
AppLocker はアプリケーション ID サービスを使って、ファイルの属性を指定し、ファイルの AppLocker ポリシーを評価します。AppLocker ポリシーは条件付きのアクセス制御エントリ (ACE) であり、ポリシーは属性ベースのアクセス制御関数 SeAccessCheckWithSecurityAttributes または AuthzAccessCheck を使用して評価されます。
AppLocker では、3 種類の方法でインターセプトして AppLocker ポリシーに従ってファイルの実行が許可されるかどうかを検証できます。
新しいプロセスが作成される
実行可能ファイルやユニバーサル Windows アプリが実行される場合など、新しいプロセスが作成されるとき、AppLocker はアプリケーション ID コンポーネントを呼び出して、新しいプロセスの作成に使用されたメイン実行可能ファイルの属性を計算します。その後、新しいプロセスのトークンをこれらの属性で更新し、AppLocker ポリシーをチェックして実行可能ファイルの実行が許可されることを確認します。
DLL が読み込まれる
新しい DLL が読み込まれると、通知が AppLocker に送信されて DLL の読み込みが許可されることが確認されます。AppLocker は、アプリケーション ID コンポーネントを呼び出してファイル属性を計算します。その後、既存のプロセス トークンを複製し、複製したトークンのアプリケーション ID 属性を読み込まれた DLL の属性で置き換えます。AppLocker はこの DLL のポリシーを評価し、複製したトークンを破棄します。このチェックの結果により、システムは DLL の読み込みを続行するか、または処理を停止します。
スクリプトが実行される
スクリプト ファイルが実行される前、スクリプト ホスト (たとえば、.ps1 ファイルの場合はスクリプト ホストは PowerShell) は AppLocker を呼び出してスクリプトを検証します。AppLocker は、ファイル名またはファイル ハンドルを使用してユーザー モードでアプリケーション ID コンポーネントを呼び出し、ファイルのプロパティを計算します。その後、スクリプト ファイルは AppLocker ポリシーに対して評価され、実行が許可されることを確認されます。いずれの場合も、AppLocker によって実行された操作は、イベント ログに書き込まれます。