各ビジネス グループに展開されているアプリケーションの一覧の作成

このトピックでは、AppLocker を使用してアプリケーション制御ポリシーを実装するために各ビジネス グループからアプリ使用要件を収集するプロセスについて説明します。

アプリの使用状況の確認

ビジネス グループごとに、以下のことを確認します。

• 使われているアプリの完全なリスト (アプリのバージョンなど)。

• アプリの完全なインストール パス。

• 各アプリの発行元および署名の状態

• ビジネス グループが各アプリに対して設定している要件の種類 (ビジネス クリティカル、ビジネス生産性、オプション、個人など)。また、この作業では、IT 部門によってサポートされているアプリとサポートされていないアプリ、または管理対象外の外部組織によってサポートされているアプリを明らかにしておくと役に立つことがあります。

• インストールまたは実行に管理者の資格情報を必要とするファイルまたはアプリのリスト。ファイルをインストールまたは実行するために管理者の資格情報が必要な場合は、AppLocker ポリシーによって明示的に許可されている場合であっても、管理者資格情報を提供できないユーザーはファイルを実行できません。AppLocker ポリシーが適用されていても、管理者資格情報を必要とするファイルをインストールまたは実行できるのは Administrators グループのメンバーだけです。

アプリの使用状況を評価する方法

各ビジネス グループのアプリの使用状況を把握するための方法が既にあるかもしれませんが、AppLocker の規則コレクションを作成するにはこの情報を使用する必要があります。AppLocker には、規則コレクションの計画と作成に役立つ、規則の自動生成ウィザードおよび [監査のみ] 実施構成が含まれます。

アプリケーション インベントリの方法

規則の自動生成ウィザードを使用すると、指定したアプリケーションの規則を短時間で作成できます。ウィザードは、規則のコレクションを作成することを目的として設計されています。ローカル セキュリティ ポリシー スナップインを使用して規則を表示および編集できます。この方法は、参照コンピューターから規則を作成するとき、およびテスト環境で AppLocker ポリシーを作成して評価するときに非常に便利です。ただし、参照コンピューターで、またはネットワーク ドライブ経由で、ファイルにアクセスできる必要があります。そのため、参照コンピューターの設定、およびそのコンピューターのメンテナンス ポリシーの決定で、追加作業が発生する可能性があります。

[監査のみ] 実施方法を使用すると、グループ ポリシー オブジェクト (GPO) を受け取るコンピューターのすべてのプロセスに関する情報が収集されるので、ログを見ることができます。それにより、ビジネス グループのコンピューターでどのようなことが実施されるのかを確認できます。AppLocker に含まれる Windows PowerShell コマンドレットを使用すると、イベント ログのイベントを分析し、規則を作成できます。ただし、グループ ポリシーを使用して複数のコンピューターに展開する場合は、一元的にイベントを収集するための手段が管理しやすさの点で非常に重要です。AppLocker はユーザーまたは他のプロセスがコンピューターで開始するファイルに関する情報を記録するため、最初に作成される規則では足りない可能性があります。そのため、実行を許可されているすべての必要なアプリケーションに正常にアクセスできることを確認するまで、評価を継続する必要があります。

ヒント  

AppLocker ポリシーが有効になっているカスタム アプリケーションに対してアプリケーション検証ツールを実行した場合、アプリケーションを実行できないことがあります。アプリケーション検証ツールまたは AppLocker を無効にする必要があります。

デバイス上のユニバーサル Windows アプリのインベントリを作成する方法には、Get-AppxPackage Windows PowerShell コマンドレットと AppLocker コンソールの 2 種類があります。

 

「AppLocker ステップ バイ ステップ ガイド」の次のトピックでは、各方法を実行する方法が説明されています。

• 参照コンピューターから実行可能ファイルの規則を自動的に生成する

• 監査を使用してどのアプリケーションが使用されているかを追跡する

インベントリを完了するための前提条件

アプリケーション制御ポリシーを適用する対象のビジネス グループおよびそのグループ内の各組織単位 (OU) を識別します。さらに、これらのポリシーに対して AppLocker が最適なソリューションかどうかを明らかにする必要があります。これらの手順については、以下のトピックを参照してください。

• AppLocker ポリシー設計の決定について

• アプリケーション制御の目的を決定します。

次の手順

アプリのリストを識別して作成します。アプリの名前、発行元の名前で示されているとおりに署名されているかどうか、およびアプリがきわめて重要、ビジネス生産性、オプション、または個人用アプリケーションのどれであるかを記録します。アプリのインストール パスを記録します。これを行う方法については、「アプリケーションの一覧の文書化」を参照してください。

アプリの一覧を作成したら、次の手順は、ポリシーとなる規則のコレクションを識別することです。この情報は、表の以下の列に追加することができます。

• 既定の規則の使用または新しい規則の条件の定義

• 許可または拒否

• GPO 名

方法については、次のトピックを参照してください。

• 作成する規則の種類の選択

• グループ ポリシー構造と規則の実施の決定