AppLocker を使用したアプリ使用状況の監視
IT 担当者向けのこのトピックでは、AppLocker ポリシーが適用されているときにアプリの使用状況を監視する方法について説明します。
規則を設定し、AppLocker ポリシーを展開したら、ポリシーの実装が予期したとおり動作しているかどうかを確認することをお勧めします。
AppLocker ポリシーの影響を検出する
文書化や監査を目的として、またはポリシーを変更する前に、AppLocker ポリシーが現在どのように実装されているかを評価できます。AppLocker ポリシー展開計画ドキュメントを更新すると、調査結果の追跡に役立ちます。このドキュメントの作成については、「AppLocker 計画ドキュメントの作成」をご覧ください。どのようなアプリケーション制御が現在 AppLocker 規則を使用して実施されているかを理解するには、以下の手順を 1 つ以上実行します。
イベント ビューアーで AppLocker ログを分析する
AppLocker ポリシーの実施が [規則の実施] に設定されている場合、規則のコレクションに対して規則が実施され、すべてのイベントが監査されます。AppLocker ポリシーの実施が [監査のみ] に設定されている場合、規則は実施されませんが、AppLocker ログに書き込まれる監査イベント データを生成するために評価されます。
ログにアクセスする手順については、「イベント ビューアーで AppLocker ログを表示する」をご覧ください。
[監査のみ] AppLocker 実施設定を有効にする
[監査のみ] 実施設定を使用すると、AppLocker 規則が組織に対して適切に構成されていることを確認できます。AppLocker ポリシーの実施が [監査のみ] に設定されている場合、規則は評価されるだけですが、その評価から生成されるイベントはすべて AppLocker ログに書き込まれます。
これを行う手順については、「AppLocker ポリシーを監査のみに構成する」をご覧ください。
Get-AppLockerFileInformation を使用して AppLocker イベントを確認する
イベント サブスクリプションとローカル イベントの両方について、Get-AppLockerFileInformation Windows PowerShell コマンドレットを使用して、どのファイルがブロックされたか、あるいはブロックされることになっていたか (監査のみの実施モードを使用している場合)、およびファイルごとのイベントの発生回数を確認できます。
これを行う手順については、「Get-AppLockerFileInformation を使用して AppLocker イベントを確認する」をご覧ください。
Test-AppLockerPolicy を使用して AppLocker イベントを確認する
Test-AppLockerPolicy Windows PowerShell コマンドレットを使用して、規則のコレクション内のいずれかの規則が、参照デバイス、またはポリシーを維持しているデバイス上でブロックされるかどうかを確認できます。
これを行う手順については、「Test-AppLockerPolicy を使用して AppLocker ポリシーをテストする」をご覧ください。
Get-AppLockerFileInformation を使用して AppLocker イベントを確認する
イベント サブスクリプションとローカル イベントの両方について、Get-AppLockerFileInformation Windows PowerShell コマンドレットを使用して、どのファイルがブロックされたか、あるいはブロックされることになっていたか ([監査のみ] 実施設定が適用されている場合)、およびファイルごとのイベントの発生回数を確認できます。
この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。
注
AppLocker ログがローカル デバイス上にない場合は、ログを表示するためのアクセス許可が必要です。出力がファイルに保存される場合は、ファイルを読み取るためのアクセス許可が必要です。
Get-AppLockerFileInformation を使用して AppLocker イベントを確認するには
コマンド プロンプトで「PowerShell」と入力し、Enter キーを押します。
次のコマンドを実行して、規則が実施されている場合にファイルの実行がブロックされた回数を確認します。
Get-AppLockerFileInformation –EventLog –EventType Audited –Statistics
次のコマンドを実行して、ファイルの実行が許可された回数と実行できなかった回数を確認します。
Get-AppLockerFileInformation –EventLog –EventType Allowed –Statistics
イベント ビューアーで AppLocker ログを表示する
AppLocker ポリシーの実施が [規則の実施] に設定されている場合、規則のコレクションに対して規則が実施され、すべてのイベントが監査されます。AppLocker ポリシーの実施が [監査のみ] に設定されている場合、規則は評価されるだけですが、その評価から生成されるイベントはすべて AppLocker ログに書き込まれます。
この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。
イベント ビューアーを使用して AppLocker ログ内のイベントを表示するには
イベント ビューアーを開きます。これを行うには、[スタート] をクリックして「eventvwr.msc」と入力し、Enter キーを押します。
コンソール ツリーのアプリケーションとサービス ログ\Microsoft\Windowsで、[AppLocker] をダブルクリックします。
AppLocker イベントは、[EXE and DLL] (EXE と DLL) ログ、[MSI and Script] (MSI とスクリプト) ログ、[Packaged app-Deployment] (パッケージ アプリ - 展開) ログ、または [Packaged app-Execution] (パッケージ アプリ - 実行) ログのいずれかにリストされます。イベント情報には、実施設定、ファイル名、日付と時刻、およびユーザー名が含まれています。ログをその他のファイル形式でエクスポートしてさらに分析することができます。