AppLocker ポリシーを監査のみに構成する
IT 担当者向けのこのトピックでは、AppLocker を使って IT 環境内で AppLocker ポリシーを [監査のみ] に設定する方法について説明します。
AppLocker 規則が規則のコレクション内に作成された後で、実施設定を [規則の実施] または [監査のみ] に構成できます。
AppLocker ポリシーの実施が [規則の実施] に設定されている場合、規則のコレクションに対して規則が実施され、すべてのイベントが監査されます。AppLocker ポリシーの実施が [監査のみ] に設定されている場合、規則は評価されるだけですが、その評価から生成されるイベントはすべて AppLocker ログに書き込まれます。
注
DLL の規則のコレクションには監査モードはありません。DLL の規則は特定のアプリに影響します。そのため、運用環境に展開する前にこれらの規則の影響を最初にテストします。DLL の規則のコレクションを有効にするには、「DLL の規則のコレクションを有効にする」を参照してください。
このタスクを実行するには、グループ ポリシー オブジェクト (GPO) の AppLocker ポリシーに対してグループ ポリシー管理コンソールを使用するか、またはローカル コンピューター上またはセキュリティ テンプレート内の AppLocker ポリシーに対してローカル セキュリティ ポリシー スナップインを使用します。これらの MMC スナップインを使って AppLocker を管理する方法については、「AppLocker の管理」をご覧ください。
規則のコレクションを監査するには
AppLocker コンソールから、[AppLocker] を右クリックして、[プロパティ] をクリックします。
[実施] タブで、実施する規則のコレクションの [構成済み] チェック ボックスをオンにし、その規則のコレクションに対して [監査のみ] が一覧で選択されていることを確認します。
上の手順を繰り返して、その他の規則のコレクションについて実施設定を [監査のみ] に構成します。
[OK] をクリックします。