ソフトウェア制限ポリシーと AppLocker ポリシーの使用
IT 担当者向けのこのトピックでは、ソフトウェア制限ポリシー (SRP) と AppLocker ポリシーを 1 つの Windows 展開で使用する方法について説明します。
SRP と AppLocker の違いについて
Windows Server 2008 R2 または Windows 7 より前の Windows オペレーティング システムでは、アプリケーション制御ポリシーを展開できます。AppLocker ポリシーは、「AppLocker を使用するための要件」に記載されている、サポートされている Windows のバージョンとエディションでのみ使用できます。SRP は、これらのサポートされているエディションの Windows に加えて、Windows Server 2003 と Windows XP でも使用できます。SRP と AppLocker の機能を比較し、状況に応じてアプリケーション制御の目的に合ったテクノロジを選択するには、「アプリケーション制御の目的の決定」をご覧ください。
同じドメインでの SRP と AppLocker の使用
SRP と AppLocker は、グループ ポリシーを使ってドメインを管理します。ただし、SRP によって生成されたポリシーと AppLocker ポリシーが同じドメインに存在し、そのポリシーが、グループ ポリシーを通して適用される場合、AppLocker をサポートするオペレーティング システムを実行しているコンピューターでは、AppLocker ポリシーが、SRP によって生成されたポリシーよりも優先されます。グループ ポリシーにおける継承が AppLocker ポリシーと SRP によって生成されたポリシーにどのように適用されるかについては、「グループ ポリシーでの AppLocker 規則と実施設定の継承について」をご覧ください。
重要
ベスト プラクティスとして、SRP ポリシーと AppLocker ポリシーは、別々のグループ ポリシー オブジェクトを使って実装します。トラブルシューティングに関する問題を減らすために、これらのポリシーは同じ GPO で組み合わせないでください。
次のシナリオは、それぞれの種類のポリシーが銀行窓口ソフトウェア アプリに与える影響の例を示しています。このアプリは異なる Windows デスクトップ オペレーティング システムに展開され、Tellers GPO によって管理されます。
| オペレーティング システム | AppLocker ポリシーを使用する Tellers GPO | SRP を使用する Tellers GPO | AppLocker ポリシーと SRP を使用する Tellers GPO |
|---|---|---|---|
Windows 10、 Windows 8.1、Windows 8、Windows 7 |
GPO 内の AppLocker ポリシーが適用され、ローカルの AppLocker ポリシーよりも優先されます。 |
ローカルの AppLocker ポリシーが、GPO を通して適用された SRP 生成ポリシーよりも優先されます。 |
GPO 内の AppLocker ポリシーが適用され、GPO 内の SRP 生成ポリシーと、ローカルの AppLocker ポリシーまたは SRP 生成ポリシーよりも優先されます。 |
Windows Vista |
AppLocker ポリシーは適用されません。 |
GPO 内の SRP 生成ポリシーが適用され、ローカルの SRP 生成ポリシーよりも優先されます。AppLocker ポリシーは適用されません。 |
GPO 内の SRP 生成ポリシーが適用され、ローカルの SRP 生成ポリシーよりも優先されます。AppLocker ポリシーは適用されません。 |
Windows XP |
AppLocker ポリシーは適用されません。 |
GPO 内の SRP 生成ポリシーが適用され、ローカルの SRP 生成ポリシーよりも優先されます。AppLocker ポリシーは適用されません。 |
GPO 内の SRP 生成ポリシーが適用され、ローカルの SRP 生成ポリシーよりも優先されます。AppLocker ポリシーは適用されません。 |
注
サポートされている Windows オペレーティング システムのバージョンとエディションについては、「AppLocker を使用するための要件」をご覧ください。
同じ環境に展開されている SRP と AppLocker ポリシーのテストと検証
SRP と AppLocker ポリシーは機能が異なるため、同じ GPO に実装しないでください。別にすることでポリシーの結果を簡単にテストできます。これは、組織内でアプリケーションの使用を正しく制御するうえで重要です。テストとポリシー配布システムを構成すると、ポリシーの結果を把握するのに役立ちます。SRP によって生成されるポリシーと AppLocker ポリシーの影響は、異なるツールを使って別々にテストする必要があります。
手順 1: SRP の影響をテストする
グループ ポリシー管理コンソール (GPMC) またはポリシーの結果セット (RSoP) スナップインを使うと、GPO による SRP の適用の影響を確認できます。
手順 2: AppLocker ポリシーの影響をテストする
AppLocker ポリシーをテストするには、Windows PowerShell コマンドレットを使用します。ポリシーの結果の調査方法については、次のトピックをご覧ください。
ポリシーの結果を確認するもう 1 つの方法として、実施モードを [監査のみ] に設定することもできます。ポリシーが展開されると、そのポリシーが実施された場合と同じように AppLocker ログにイベントが書き込まれます。[監査のみ] モードの使用方法については、次のトピックをご覧ください。