AppLocker 規則条件の種類について
IT 担当者向けのこのトピックでは、3 種類の AppLocker 規則条件について説明します。
規則条件は、AppLocker 規則のベースとなる条件です。AppLocker 規則を作成するには、プライマリ条件が必要です。規則に関する標準の条件とは、発行元、パス、ファイル ハッシュの 3 つです。
発行元
発行元条件を使用するには、ファイルがソフトウェアの発行元によってデジタル署名されているか、内部証明書を使ってこれを行う必要があります。ファイルの新しいバージョンがリリースされたときは、バージョン レベルに対して指定されている規則の更新が必要になる場合があります。この規則条件について詳しくは、「AppLocker での発行元規則条件について」をご覧ください。
パス
この規則条件はすべてのファイルに割り当てることができます。ただし、パス規則ではファイル システム内の場所を指定するため、すべてのサブディレクトリも規則の影響を受けることになります (明示的に除外する場合を除く)。この規則条件について詳しくは、「AppLocker でのパス規則条件について」をご覧ください。
ファイル ハッシュ
この規則条件はすべてのファイルに割り当てることができます。ただし、ハッシュ値はそのファイル バージョンに対して一意であるため、ファイルの新しいバージョンがリリースされるたびに規則を更新する必要があります。この規則条件について詳しくは、「AppLocker でのファイル ハッシュ規則条件について」をご覧ください。
考慮事項
各規則に対してどの条件を選択するのが適切かは、組織の総合的なアプリケーション制御ポリシー目標や、AppLocker 規則のメンテナンス目標、および既存の (または計画されている) アプリケーション展開の条件によって決まります。使用する規則条件を決定する際に役立つ可能性がある質問事項を次に示します。
ファイルは、ソフトウェアの発行元によってデジタル署名されているか。
ファイルがソフトウェアの発行元によって署名されている場合は、発行元条件を使って規則を作成することをお勧めします。ファイル ハッシュ条件やパス条件を署名済みファイル用に作成することもできます。ただし、ファイルがソフトウェアの発行元によってデジタル署名されていない場合は、次のことができます。
内部証明書を使ってファイルに署名する。
ファイル ハッシュ条件を使用して規則を作成する。
パス条件を使用して規則を作成する。
注
参照コンピューター上のアプリケーションのうち、デジタル署名されているものがどれだけあるかを確認するには、ファイルのディレクトリに対して Get-AppLockerFileInformation Windows PowerShell コマンドレットを使用します。たとえば、
Get-AppLockerFileInformation –Directory C:\Windows\ -FileType EXE -recurseでは、Windows ディレクトリ内にある、すべての .exe ファイルおよび .com ファイルのプロパティを表示できます。
組織として、どの種類の規則条件を優先的に使用しているか。
組織において、ユーザーが実行できるファイルを制限するためにソフトウェアの制限のポリシー (SRP) が既に使用されている場合は、ファイル ハッシュ条件やパス条件を使用した規則が既に実施されている可能性があります。
注
SRP や AppLocker の規則を適用できる、サポートされているオペレーティング システムのバージョンとエディションの一覧については、「AppLocker を使用するための要件」をご覧ください。