次の方法で共有


このトピックでは、AppLocker ポリシーを展開前にテストするために必要な手順について説明します。

規則の各コレクションをテストして、それらの規則が意図したとおりに実行されることを確認する必要があります。グループ ポリシーを使って AppLocker ポリシーを管理する場合は、AppLocker 規則を作成するグループ ポリシー オブジェクト (GPO) ごとに次の手順を実行します。AppLocker 規則はリンクされた GPO から継承されるため、すべてのテスト GPO を同時にテストするには、すべての規則を展開する必要があります。

手順 1: [監査のみ] 実施設定を有効にする

[監査のみ] 実施設定を使うことで、作成した AppLocker 規則が組織に合わせて適切に構成されていることを確認できます。この設定は、[AppLocker のプロパティ] ダイアログ ボックスの [実施] タブで有効にすることができます。そのための手順については、「AppLocker ポリシーを監査のみに構成する」をご覧ください。

手順 2: 自動的に起動されるようにアプリケーション ID サービスを構成する

AppLocker ではアプリケーション ID サービスを使ってファイルの属性が確認されるため、AppLocker 規則を適用するいずれかの GPO で自動的に起動されるように、そのサービスを構成する必要があります。そのための手順については、「アプリケーション ID サービスの構成」をご覧ください。GPO によって管理されない AppLocker ポリシーの場合は、それらのポリシーが適用されるように、そのサービスが各 PC で実行されていることを確認する必要があります。

手順 3: ポリシーをテストする

AppLocker ポリシーをテストして、規則のコレクションを変更する必要があるかどうかを調べます。AppLocker 規則を作成し、アプリケーション ID サービスを有効にして、[監査のみ] 実施設定を有効にしたため、AppLocker ポリシーを受け取るように構成されているすべてのクライアント PC に、AppLocker ポリシーがあります。

Test-AppLockerPolicy Windows PowerShell コマンドレットを使うと、規則のコレクション内の規則のいずれかが、参照 PC でブロックされるかどうかを確認できます。そのための手順については、「Test-AppLockerPolicy を使用して AppLocker ポリシーをテストする」をご覧ください。

手順 4: AppLocker のイベントを分析する

AppLocker のイベントを手動で分析したり、Get-AppLockerFileInformation Windows PowerShell コマンドレットを使って分析を自動化したりできます。

AppLocker のイベントを手動で分析するには

イベント ビューアーまたはテキスト エディターでイベントを表示したら、並べ替えて、分析できます。たとえば、アプリケーションの使用イベント、アクセス頻度、ユーザー グループ別アクセスでパターンを探すことができます。イベントの受信登録を構成していない場合は、組織内のコンピューターのサンプリングのログを確認する必要があります。イベント ビューアーの使い方について詳しくは、「AppLocker でアプリケーションの使用状況を監視する」をご覧ください。

Get-AppLockerFileInformation を使って AppLocker のイベントを分析するには

Get-AppLockerFileInformation Windows PowerShell コマンドレットを使って、リモート コンピューターから AppLocker のイベントを分析できます。ブロックされているアプリを許可する必要がある場合は、問題のトラブルシューティングに役立つ AppLocker のコマンドレットを使えます。

イベントの受信登録とローカル イベントの両方について、Get-AppLockerFileInformation コマンドレットを使って、どのファイルがブロックされているか、ブロックされることになっていたか ([監査のみ] 実施モードを使っている場合)、そのイベントがファイルごとに何回発生していたかを調べることができます。そのための手順については、「AppLocker でアプリケーションの使用状況を監視する」をご覧ください。

Get-AppLockerFileInformation を使って、ファイルの実行がブロックされることになっていた回数を調べた後、規則の一覧を確認して、ブロックされているファイルについて新しい規則を作成する必要があるかどうかや、既存の規則を厳密に定義しすぎていないかどうかを確認する必要があります。どの GPO によって現在、ファイルの実行が禁止されているかを確認します。これを調べるには、グループ ポリシーの結果ウィザードを使って規則名を表示できます。

手順 5: AppLocker ポリシーを変更する

編集するか、ポリシーに追加する必要のある規則を特定した後、グループ ポリシー管理コンソールを使って、該当する GPO 内の AppLocker 規則を変更できます。GPO によって管理されない AppLocker ポリシーの場合、ローカル セキュリティ ポリシー スナップイン (secpol.msc) を使えます。AppLocker ポリシーの変更方法については、「AppLocker ポリシーの編集」をご覧ください。

手順 6: ポリシーのテスト、分析、変更を繰り返す

実施設定を適用する前に、すべての規則が意図したとおりに実行されるまで、前の手順 3. ~ 5. を繰り返します。

その他の情報

  • AppLocker ポリシーのその他のタスクを実行する手順については、「AppLocker の管理」をご覧ください。