規則に対する AppLocker の許可操作と拒否操作について
このトピックでは、AppLocker 規則に対する許可操作と拒否操作の違いについて説明します。
規則に対する許可操作と拒否操作
ソフトウェアの制限のポリシー (SRP) とは異なり、各 AppLocker 規則のコレクションは、許可済みファイル一覧として機能します。規則のコレクションに記載されているファイルのみが実行を許可されます。この構成により、AppLocker 規則が適用されたときに何が発生するかを判断しやすくなります。
また、拒否操作を使用する規則を作成することもできます。規則を適用する際、AppLocker はまず、規則一覧に明示的な拒否操作が指定されていないかどうかをチェックします。規則のコレクション内でファイルの実行を拒否した場合、その拒否操作はいずれの許可操作よりも優先されます。このことは、規則が元々どのグループ ポリシー オブジェクト (GPO) で適用された場合であっても同様です。AppLocker は、既定では許可一覧として機能するため、ファイルの実行を明示的に許可または拒否する規則がない場合、AppLocker の既定の拒否操作によってファイルはブロックされます。
拒否規則に関する考慮事項
AppLocker では、すべてのファイルの実行を許可する規則を作成した後、特定のファイルを拒否する規則を使用することができますが、この構成は推奨されません。拒否操作は通常、許可操作よりも安全性に劣ります。これは、悪意のあるユーザーが、ファイルを変更して規則を無効化する可能性があるためです。また、拒否操作が回避される可能性もあります。たとえば、ファイルまたはフォルダーのパスに対して拒否操作を構成しても、ユーザーは他のパスからファイルを実行できます。次の表で、拒否操作に関するセキュリティ上の考慮事項を、規則条件の種類別に詳しく説明します。
| 規則条件 | 拒否操作に関するセキュリティ上の考慮事項 |
|---|---|
発行元 |
ユーザーがファイルのプロパティを変更する可能性があります (別の証明書を使用してファイルに再署名するなど)。 |
ファイル ハッシュ |
ユーザーがファイルのハッシュを変更する可能性があります。 |
パス |
ユーザーが、拒否されたファイルを別の場所に移動し、そこからファイルを実行する可能性があります。 |
重要
規則に対して拒否操作を使用する場合は、最初に必ず、Windows システム ファイルの実行を許可する規則を作成する必要があります。AppLocker では、許可されたアプリケーションの規則が既定で実施されるため、規則のコレクションに 1 つ以上の (Windows システム ファイルに影響する) 規則を作成すると、その後は許可一覧に含まれているアプリだけが実行を許可されることになります。したがって、悪意のあるファイルの実行を拒否する規則を 1 つ規則のコレクションに作成すると、そのコンピューター上にある他のすべてのファイルも実行を拒否されます。