グループ ポリシーの構造と AppLocker 規則の実施の文書化
この計画に関するトピックでは、AppLocker を使用する場合に、調査、判別、および記録が必要なアプリケーション制御ポリシー内の要素について説明します。
調査結果を記録する
この AppLocker 計画ドキュメントを作成するには、最初に次の手順を実行します。
AppLocker ポリシーを適用できるようにグループ ポリシー オブジェクト (GPO) を構成する方法を決定した後で、結果を記録する必要があります。次の表を使用して、作成 (または編集) する GPO の数、およびそれらのリンク先のオブジェクトを決定できます。システム ファイルの実行を許可するためにカスタム規則を作成することを決定した場合は、「既定の規則の使用または新しい規則の条件の定義」列で高度な規則の構成に注意してください。
次の表には、AppLocker ポリシーの実施設定と GPO 構造を決定したときに収集されたサンプル データが含まれています。
| ビジネス グループ | 組織単位 | AppLocker を実装 | アプリ | インストール パス | 既定の規則の使用または新しい規則の条件の定義 | 許可または拒否 | GPO 名 |
|---|---|---|---|---|---|---|---|
Bank Tellers (銀行窓口係) |
Teller-East (窓口係 (東)) および Teller-West (窓口係 (西)) |
はい |
Teller Software (窓口ソフトウェア) |
C:\Program Files\Woodgrove\Teller.exe |
ファイルは署名済み。発行元条件を作成 |
許可 |
Tellers-AppLockerTellerRules |
Windows のファイル |
C:\Windows |
既定の規則にパスの例外を作成して、\Windows\Temp を除外 |
許可 |
||||
Human Resources (人事) |
HR-All |
はい |
Check Payout (支払の確認) |
C:\Program Files\Woodgrove\HR\Checkcut.exe |
ファイルは署名済み。発行元条件を作成 |
許可 |
HR-AppLockerHRRules |
Time Sheet Organizer (タイム シート オーガナイザー) |
C:\Program Files\Woodgrove\HR\Timesheet.exe |
ファイルは未署名。ファイル ハッシュの条件を作成 |
許可 |
||||
Internet Explorer 7 |
C:\Program Files\Internet Explorer\ |
ファイルは署名済み。発行元条件を作成 |
拒否 |
||||
Windows のファイル |
C:\Windows |
Windows パスに既定の規則を使用 |
許可 |
次の手順
各ビジネス グループのアプリについてグループ ポリシー構造と規則の実施戦略を決定した後で、以下のタスクが残っています。