作成する規則の種類の選択
このトピックでは、AppLocker でアプリケーション制御ポリシーの規則を選ぶときに使えるリソースを示します。
各グループに対して作成する規則の種類を決めるときは、グループごとに使う実施設定も決める必要があります。特定のビジネス グループでのアプリケーションの展開方法によっては、一部のアプリで異なる種類の規則が適用されることが多くなります。
次のトピックでは、アプリケーションに使う AppLocker 規則を決めるときに役立つ、追加の情報を示しています。
規則のコレクションを選ぶ
作成した規則は、次のいずれかの規則のコレクションに追加されます。
実行可能ファイル: .exe、.com
Windows インストーラー ファイル: .msi、.msp、.mst
スクリプト: .ps1、.bat、.cmd、.vbs、.js
パッケージ アプリおよびパッケージ アプリのインストーラー: .appx
DLL: .dll、.ocx
既定では、規則によってファイルの実行はユーザーまたはグループの特権に基づいて許可されます。DLL の規則を使う場合は、許可されるすべてのアプリで使われる DLL ごとに、DLL 許可規則を作成する必要があります。DLL の規則のコレクションは、既定では有効になっていません。
Woodgrove Bank の例では、Bank Tellers ビジネス グループの基幹業務アプリは C:\Program Files\Woodgrove\Teller.exe です。このアプリは規則に含める必要があります。また、この規則は許可されたアプリケーションの一覧に含まれているため、C:\Windows にあるすべての Windows ファイルも同様に含める必要があります。
規則条件を決める
規則条件は AppLocker 規則が従う基準であり、次の表で示しているいずれかになります。
| 規則条件 | 利用シナリオ | リソース |
|---|---|---|
発行元 |
発行元条件を使うには、ファイルがソフトウェアの発行元によってデジタル署名されているか、内部証明書を使ってこれを行う必要があります。ファイルの新しいバージョンがリリースされたときは、バージョン レベルに対して指定されている規則の更新が必要になる場合があります。 |
この規則条件について詳しくは、「AppLocker での発行元規則条件について」をご覧ください。 |
パス |
この規則条件はすべてのファイルに割り当てることができます。ただし、パス規則ではファイル システム内で場所が指定されるため、すべてのサブディレクトリも規則の影響を受けることになります (明示的に除外する場合を除く)。 |
この規則条件について詳しくは、「AppLocker でのパス規則条件について」をご覧ください。 |
ファイル ハッシュ |
この規則条件はすべてのファイルに割り当てることができます。ただし、ハッシュ値がバージョンに部分的に基づいているため、ファイルの新しいバージョンがリリースされるたびに規則を更新する必要があります。 |
この規則条件について詳しくは、「AppLocker でのファイル ハッシュ規則条件について」をご覧ください。 |
Woodgrove Bank の例では、Bank Tellers ビジネス グループの基幹業務アプリは署名されており、C:\Program Files\Woodgrove\Teller.exe にあります。したがって、発行元条件に基づいた規則を定義できます。規則で特定のバージョン以上 (Teller.exe バージョン 8.0 以上など) に定義した場合、このアプリへの更新は、アプリの名前と署名済み属性が同じままであれば、ユーザーへのアクセスを中断することなく行えるようになります。
システム ファイルの実行を許可する方法を決める
AppLocker 規則では許可されたアプリの一覧が生成されるため、すべての Windows ファイルの実行を許可する規則を作成する必要があります。AppLocker では、システム ファイルが規則のコレクションで適切に扱われるようにする手段が用意されており、そのために、各規則のコレクションに既定の規則が生成されます。既定の規則は、独自の規則を作成するときにテンプレートとして使えます。ただし、これらの規則は、Windows フォルダー内のシステム ファイルの実行が許可されるように、AppLocker 規則を初めてテストするときのスターター ポリシーとして機能することだけを意図したものです。既定の規則が作成されると、その名前が "(既定の規則)" として規則のコレクションに表示されます。
システム ファイルについて、パス条件に基づく規則を作成することもできます。先ほどの Bank Tellers の例では、すべての Windows ファイルが C:\Windows ファイルに置かれるように、パス規則条件を使って定義できます。これにより、更新プログラムが適用されてファイルが変更されるたびに、これらのファイルへのアクセスが許可されるようになります。アプリケーションのセキュリティを強化する必要がある場合は、組み込まれている既定の規則のコレクションから作成された規則を変更する必要があります。たとえば、Windows フォルダー内の .exe ファイルをすべてのユーザーが実行できるようにする既定の規則は、Windows フォルダー内のすべてのファイルの実行を許可するパス条件に基づいています。Windows フォルダーには Temp サブフォルダーが含まれ、Users グループには次のアクセス許可が付与されています。
フォルダーのスキャン/ファイルの実行
ファイルの作成/データの書き込み
フォルダーの作成/データの追加
アプリケーションの互換性のため、このフォルダーにはこれらのアクセス許可設定が適用されます。ただし、すべてのユーザーがこの場所にファイルを作成できるため、この場所からのアプリの実行を許可すると、組織のセキュリティ ポリシーと競合する可能性があります。
次の手順
作成する規則の種類を選んだ後、「AppLocker 規則の文書化」での説明に従って、調査結果を記録します。
AppLocker 規則に関する調査結果を記録した後、規則を実施する方法を検討する必要があります。そのための方法については、「グループ ポリシーの構造と規則の実施の決定」をご覧ください。