次の方法で共有

Test-AppLockerPolicy を使用して AppLocker ポリシーをテストする

  • [アーティクル]

IT 担当者向けのこのトピックでは、AppLocker ポリシーをグループ ポリシー オブジェクト (GPO) または別のコンピューターにインポートする前にテストする手順について説明します。

Test-AppLockerPolicy Windows PowerShell コマンドレットを使って、規則のコレクション内のいずれかの規則が、参照コンピューター、またはポリシーを維持しているコンピューターでブロックされるかどうかを確認できます。AppLocker ポリシーが適用されているいずれかのコンピューターで、次の手順を実行します。

この手順を実行する場合は、任意のユーザー アカウントを使用することができます。

Mt431826.wedge(ja-jp,VS.85).gifTest-AppLockerPolicy を使って AppLocker ポリシーをテストするには

  1. 有効な AppLocker ポリシーをエクスポートします。そのためには、Get-AppLockerPolicy Windows PowerShell コマンドレットを使う必要があります。

    1. 管理者として Windows PowerShell コマンド プロンプト ウィンドウを開きます。

    2. Get-AppLockerPolicy コマンドレットを使って、有効な AppLocker ポリシーを XML ファイルにエクスポートします。

      Get-AppLockerPolicy –Effective –XML > <PathofFiletoExport.XML>

  2. Get-ChildItem コマンドレットを使って、テストするディレクトリを指定し、Test-AppLockerPolicy コマンドレットを使って、前の手順の XML ファイルを指定したら、Export-CSV コマンドレットを使って、分析のために結果をファイルにエクスポートします。

    Get-ChildItem <DirectoryPathtoReview> -Filter <FileExtensionFilter> -Recurse | Convert-Path | Test-AppLockerPolicy –XMLPolicy <PathToExportedPolicyFile> -User <domain\username> -Filter <TypeofRuletoFilterFor> | Export-CSV <PathToExportResultsTo.CSV>

次に示しているのは、Test-AppLockerPolicy の入力例です。

PS C:\ Get-AppLockerPolicy –Effective –XML > C:\Effective.xml

PS C:\ Get-ChildItem 'C:\Program Files\Microsoft Office\' –filter *.exe –Recurse | Convert-Path | Test-AppLockerPolicy –XMLPolicy C:\Effective.xml –User contoso\zwie –Filter Denied,DeniedByDefault | Export-CSV C:\BlockedFiles.csv

この例では、有効な AppLocker ポリシーを C:\Effective.xml ファイルにエクスポートしています。Get-ChildItem コマンドレットを使って、C:\Program Files\Microsoft Office\ に .exe ファイルのパス名を再帰的に収集します。XMLPolicy パラメーターで、XML AppLocker ポリシー ファイルとして C:\Effective.xml ファイルを指定します。User パラメーターを指定して、特定のユーザーに対して規則をテストでき、Export-CSV コマンドレットを使って、結果をコンマ区切りのファイルにエクスポートできます。この例では、-FilterDenied,DeniedByDefault を使って、ポリシーの下でユーザーに対してブロックされるファイルのみを表示しています。