AppLocker ポリシーの管理
ここでは、AppLocker ポリシー内で規則を管理する方法について説明します。
一般的な AppLocker 管理シナリオには、次のようなものがあります。
アプリの新しいバージョンが展開され、AppLocker ポリシーを更新するか、ポリシーを更新する新しい規則を作成する必要がある。
アプリが組織内でサポートされなくなったため、使用されないようにする必要がある。
アプリがブロックされているようだが、許可する必要がある。
アプリが許可されているようだが、ブロックする必要がある。
単一のユーザーまたは少数のサブセットとなるユーザーは、ブロックされている特定のアプリを使用する必要がある。
AppLocker ポリシーを管理するには、2 つの方法があります。
グループ ポリシーを使用した AppLocker ポリシーの管理
ローカル コンピューター上での AppLocker ポリシーの管理
新しいアプリが展開されたか、既存のアプリが組織によって削除されたか、またはソフトウェア発行元によって更新された場合、規則に修正を加えてグループ ポリシー オブジェクト (GPO) を更新し、ポリシーを確実に最新状態にする必要があります。
規則を追加、変更、または削除することにより、AppLocker ポリシーを編集できます。ただし、追加の規則をインポートすることにより AppLocker ポリシーの新しいバージョンを指定することはできません。AppLocker ポリシーを変更する場合にバージョン管理を確実にするには、GPO のバージョンを作成することができるグループ ポリシー管理ソフトウェアを使用します。
注意
グループ ポリシーでの実施中には AppLocker 規則のコレクションを編集しないでください。AppLocker はどのファイルを実行できるかを制御するため、ライブ ポリシーを変更すると予期しない動作が生じる可能性があります。
グループ ポリシーを使用した AppLocker ポリシーの管理
各シナリオについて、グループ ポリシーで配布される AppLocker ポリシーを管理する手順には以下のタスクが含まれます。
手順 1: ポリシーの現在の動作を理解する
ポリシーを変更する前に、ポリシーの現在の実装方法を評価します。たとえば、新しいバージョンのアプリケーションを展開する場合は、Test-AppLockerPolicy を使用してそのアプリの現在のポリシーの有効性を確認できます。
手順 2: GPO から AppLocker ポリシーをエクスポートする
運用環境で現在実施されている AppLocker ポリシーを更新すると、予期しない結果になる可能性があります。したがって、ポリシーを GPO からエクスポートし、AppLocker 参照またはテスト コンピューターで AppLocker を使用して 1 つまたは複数の規則を更新します。ポリシーの変更を準備するには、「GPO からの AppLocker ポリシーのエクスポート」をご覧ください。
手順 3: 適切な AppLocker 規則の編集によって AppLocker ポリシーを更新する
GPO から AppLocker ポリシーを AppLocker 参照またはテスト コンピューターにエクスポートした後、またはローカル コンピューターで AppLocker ポリシーにアクセスした後、必要に応じて特定の規則を修正できます。
AppLocker 規則を修正するには、次をご覧ください。
手順 4: AppLocker ポリシーをテストする
各規則のコレクションをテストして、意図したとおりに動作することを確認する必要があります。(AppLocker の規則はリンクされた GPO から継承されるため、すべてのテスト GPO 内で同時にテストするには、すべての規則を展開する必要があります。)このテストを実行する手順については、「AppLocker ポリシーのテストと更新」をご覧ください。
手順 5: AppLocker ポリシーを GPO にインポートする
テスト後、GPO に AppLocker ポリシーをインポートして実装します。修正された AppLocker ポリシーを持つ GPO を更新するには、「AppLocker ポリシーを GPO にインポートする」をご覧ください。
手順 6: 結果のポリシー動作を監視する
ポリシーを展開した後は、ポリシーの効果を評価します。
ローカル セキュリティ ポリシー スナップインを使用した AppLocker ポリシーの管理
すべてのシナリオで、ローカル グループ ポリシー エディターまたはローカル セキュリティ ポリシー スナップインを使用して AppLocker ポリシーを管理する手順には、次のタスクが含まれます。
手順 1: ポリシーの現在の動作を理解する
ポリシーを変更する前に、ポリシーの現在の実装方法を評価します。
手順 2: 適切な AppLocker 規則の変更によって AppLocker ポリシーを更新する
規則は、コレクションにグループ化され、このコレクションにはポリシーの実施設定を適用できます。既定の AppLocker 規則では、ユーザーは許可されていないファイルを開いたり、実行したりすることはできません。
AppLocker の規則を変更するには、「AppLocker の管理」に記載されている該当するトピックをご覧ください。
手順 3: AppLocker ポリシーをテストする
各規則のコレクションをテストして、意図したとおりに動作することを確認する必要があります。このテストを実行する手順については、「AppLocker ポリシーのテストと更新」をご覧ください。
手順 4: 変更した規則を使用してポリシーを展開する
AppLocker ポリシーをエクスポートし、Windows 8 以降を実行している他のコンピューターにインポートしてポリシーを展開できます。このタスクを実行するには、「AppLocker ポリシーを XML ファイルにエクスポートする」および「別のコンピューターから AppLocker ポリシーをインポートする」をご覧ください。
手順 5: 結果のポリシー動作を監視する
ポリシーを展開した後は、ポリシーの効果を評価します。
その他の情報
- その他の AppLocker ポリシー タスクを実行する手順については、AppLocker の管理に関するページをご覧ください。