Test-AppLockerPolicy を使用して AppLocker ポリシーをテストする
IT 担当者向けのこのトピックでは、AppLocker ポリシーをグループ ポリシー オブジェクト (GPO) または別のコンピューターにインポートする前にテストする手順について説明します。
Test-AppLockerPolicy Windows PowerShell コマンドレットを使って、規則のコレクション内のいずれかの規則が、参照コンピューター、またはポリシーを維持しているコンピューターでブロックされるかどうかを確認できます。AppLocker ポリシーが適用されているいずれかのコンピューターで、次の手順を実行します。
この手順を実行する場合は、任意のユーザー アカウントを使用することができます。
Test-AppLockerPolicy を使って AppLocker ポリシーをテストするには
有効な AppLocker ポリシーをエクスポートします。そのためには、Get-AppLockerPolicy Windows PowerShell コマンドレットを使う必要があります。
管理者として Windows PowerShell コマンド プロンプト ウィンドウを開きます。
Get-AppLockerPolicy コマンドレットを使って、有効な AppLocker ポリシーを XML ファイルにエクスポートします。
Get-AppLockerPolicy –Effective –XML > <PathofFiletoExport.XML>
Get-ChildItem コマンドレットを使って、テストするディレクトリを指定し、Test-AppLockerPolicy コマンドレットを使って、前の手順の XML ファイルを指定したら、Export-CSV コマンドレットを使って、分析のために結果をファイルにエクスポートします。
Get-ChildItem <DirectoryPathtoReview> -Filter <FileExtensionFilter> -Recurse | Convert-Path | Test-AppLockerPolicy –XMLPolicy <PathToExportedPolicyFile> -User <domain\username> -Filter <TypeofRuletoFilterFor> | Export-CSV <PathToExportResultsTo.CSV>
次に示しているのは、Test-AppLockerPolicy の入力例です。
PS C:\ Get-AppLockerPolicy –Effective –XML > C:\Effective.xml
PS C:\ Get-ChildItem 'C:\Program Files\Microsoft Office\' –filter *.exe –Recurse | Convert-Path | Test-AppLockerPolicy –XMLPolicy C:\Effective.xml –User contoso\zwie –Filter Denied,DeniedByDefault | Export-CSV C:\BlockedFiles.csv
この例では、有効な AppLocker ポリシーを C:\Effective.xml ファイルにエクスポートしています。Get-ChildItem コマンドレットを使って、C:\Program Files\Microsoft Office\ に .exe ファイルのパス名を再帰的に収集します。XMLPolicy パラメーターで、XML AppLocker ポリシー ファイルとして C:\Effective.xml ファイルを指定します。User パラメーターを指定して、特定のユーザーに対して規則をテストでき、Export-CSV コマンドレットを使って、結果をコンマ区切りのファイルにエクスポートできます。この例では、-FilterDenied,DeniedByDefault
を使って、ポリシーの下でユーザーに対してブロックされるファイルのみを表示しています。