AppLocker のプロセスと対話式操作
IT 担当者向けのこのトピックでは、AppLocker が規則を評価し、適用する際の、プロセスの依存関係との相互作用について説明します。
AppLocker でのポリシーの実装方法
AppLocker ポリシーは、AppLocker 規則のコレクションであり、いずれかの実施設定が構成されている可能性があります。適用されると、各規則がポリシー内で評価され、実施設定とグループ ポリシー構造に従って、規則のコレクションが適用されます。
AppLocker ポリシーは、ポリシーを評価するエンジンである、アプリケーション ID サービスを通じてコンピューターに適用されます。このサービスが実行されていない場合、ポリシーは適用されません。アプリケーション ID サービスは、製品名やバイナリ名が空の場合でも、バイナリからの情報をローカル セキュリティ ポリシー スナップインの結果ペインに返します。
AppLocker ポリシーは、アプリケーション ID サービスの要件に応じて、セキュリティ記述子形式で保存されます。規則に対する許可アクションや拒否アクションは、ファイル パス、ハッシュ、または完全修飾バイナリ名属性を使用して形成されます。各ルールは、セキュリティ記述子内のアクセス制御エントリ (ACE) として保存されます。これには次の情報が含まれます。
ACE の許可または拒否 (セキュリティ記述子定義言語 (SDDL) フォームの "XA" または "XD")。
この規則の適用対象となるユーザー セキュリティ ID (SID)。(既定値は、認証済みユーザー SID (SDDL では "AU") です。)
appid 属性を含んだ規則条件。
たとえば、%windir% ディレクトリ内のすべてのファイルの実行を許可する規則の SDDL では、次の形式が使用されます。XA;;FX;;;AU;(APPID://PATH == "%windir%\*").
DLL と実行可能ファイルに対する AppLocker ポリシーは、appid.sys の一部であるカーネル モード コードによって読み取られ、キャッシュされます。新しいポリシーが適用された際には、ポリシー コンバーター タスクによって appid.sys に毎回通知が送られます。その他のファイル タイプの場合、AppLocker ポリシーは SaferIdentifyLevel 呼び出しの発生ごとに読み取られます。
AppLocker 規則について
AppLocker 規則は、特定のユーザーやグループに対してファイルの実行を許可するかどうかを制御するために、ファイルに対して配置されるコントロールです。規則は、次の 5 つの種類 (コレクション) のファイルに適用されます。
実行可能ファイルの規則は、ユーザーまたはグループが実行可能ファイルを実行できるかどうかを制御します。実行可能ファイルは多くの場合、ファイル名拡張子が .exe か .com で、アプリケーションに適用されます。
スクリプトの規則は、ファイル名拡張子が .ps1、.bat、.cmd、.vbs、または .js であるスクリプトを、ユーザーやグループが実行できるかどうかを制御します。
Windows インストーラーの規則は、ファイル名拡張子が .msi、mst、または .msp (Windows インストーラー修正プログラム) であるファイルを、ユーザーやグループが実行できるかどうかを制御します。
DLL の規則は、ファイル名拡張子が .dll または .ocx であるファイルを、ユーザーやグループが実行できるかどうかを制御します。
パッケージ アプリとパッケージ アプリ インストーラーの規則は、ユーザーやグループがパッケージ アプリを実行またはインストールできるかどうかを制御します。パッケージ アプリ インストーラーの拡張子は .appx です。
規則に適用できる条件は、次の 3 つの種類に分けられます。
規則の発行元条件は、ユーザーやグループが特定のソフトウェア発行元からのファイルを実行できるかどうかを制御します。ファイルは署名されている必要があります。
規則のパス条件は、ユーザーやグループがディレクトリやサブディレクトリ内からファイルを実行できるかどうかを制御します。
規則のファイル ハッシュ条件は、ユーザーやグループが、暗号化ハッシュに対応付けられたファイルを実行できるかどうかを制御します。
-
AppLocker 規則コレクションは、次のいずれかの種類に適用される規則のセットです: 実行可能ファイル、Windows インストーラー ファイル、スクリプト、Dll、およびパッケージ アプリ。
-
規則条件は、AppLocker 規則のベースとなる条件です。AppLocker 規則を作成するには、プライマリ条件が必要です。規則に関する標準の条件は、発行元、パス、ファイル ハッシュの 3 つです。
-
AppLocker では、規則の各コレクションに既定の規則が含まれています。これらの規則は、Windows の正常な動作に必要なファイルを AppLocker の規則コレクションで使用できるようにするためのものです。
-
AppLocker の規則は、個々のユーザーに適用することも、ユーザー グループに適用することもできます。規則をユーザー グループに適用する場合、そのグループのすべてのユーザーが、この規則の影響を受けます。ユーザー グループのサブセットだけにアプリケーションの使用を許可する必要がある場合は、そのサブセット用に特別な規則を作成できます。
AppLocker 規則の動作についてと規則に対する AppLocker の許可操作と拒否操作について
各 AppLocker 規則のコレクションは、許可済みファイル一覧として機能します。
AppLocker ポリシーについて
AppLocker ポリシーとは、1 つ以上のコンピューターに適用された規則コレクションと、対応する構成済み実施設定のセットのことです。
-
規則の実施は、個別の規則ではなく、規則のコレクションに対してのみ適用されます。AppLocker では、実行可能ファイル、Windows インストーラー ファイル、スクリプト、および DLL ファイルの 4 つのコレクションに規則を分けることができます。また、規則を実施するときは、[未構成]、[規則の実施]、[監査のみ] のいずれかのオプションを指定できます。アプリケーション制御ポリシー、つまり AppLocker ポリシーは、この AppLocker 規則のすべてのコレクションを組み合わせて作成します。既定では、実施が構成されていなくても、規則コレクションに規則が含まれていれば、それらの規則は実施されます。
AppLocker とグループ ポリシーについて
グループ ポリシーを使用した AppLocker ポリシーは、個別のオブジェクトか、または他のポリシーとの組み合わせとして作成、変更、および配布できます。
グループ ポリシーでの AppLocker 規則と実施設定の継承について
グループ ポリシーを使用して AppLocker ポリシーを配布した場合、未構成の規則コレクションは実施されます。グループ ポリシーは、リンクされたグループ ポリシー オブジェクト (GPO) 内に既に存在する規則を上書きしたり置き換えたりはせず、既存の規則に加えるかたちで AppLocker 規則を適用します。AppLocker では、許可規則の構成の前に、明示的な拒否規則の構成が処理され、規則の実施については、GPO への最後の書き込みが適用されます。