AppLocker 規則の操作
IT 担当者向けのこのトピックでは、AppLocker 規則の種類と、アプリケーション制御ポリシーを操作する方法について説明します。
このセクションの内容
トピック | 説明 |
---|---|
IT 担当者向けのこのトピックでは、ファイル ハッシュ条件で AppLocker の規則を作成する方法を示します。 |
|
IT 担当者向けのこのトピックでは、パス条件で AppLocker の規則を作成する方法を示します。 |
|
IT 担当者向けのこのトピックでは、発行元条件で AppLocker の規則を作成する方法を示します。 |
|
IT 担当者向けのこのトピックでは、Windows システム ファイルの実行を許可する AppLocker 規則の標準セットを作成する手順について説明します。 |
|
IT 担当者向けのこのトピックでは、AppLocker 規則の例外として実行できるアプリと実行できないアプリを指定する手順について説明します。 |
|
IT 担当者向けのこのトピックでは、発行元の条件でパッケージ アプリの AppLocker 規則を作成する方法を示します。 |
|
IT 担当者向けのこのトピックでは、AppLocker 規則を削除するための手順について説明します。 |
|
IT 担当者向けのこのトピックでは、AppLocker の発行元規則、パス規則、およびファイル ハッシュ規則を編集する手順について説明します。 |
|
IT 担当者向けのこのトピックでは、AppLocker の DLL の規則のコレクション機能を有効にする手順について説明します。 |
|
IT 担当者向けのこのトピックでは、AppLocker を使用してアプリケーション制御規則を実施する方法について説明します。 |
|
IT 担当者向けのこのトピックでは、ウィザードを実行して参照デバイスに対して AppLocker 規則を作成する手順について説明します。 |
次の表では、AppLocker の 3 種類の実施モードについて説明しています。ここで定義する実施モード設定は、より優先順位の高い、リンクされたグループ ポリシー オブジェクト (GPO) から派生する設定で上書きされる可能性があります。
実施モード | 説明 |
---|---|
未構成 |
既定の設定です。より優先順位の高い、リンクされた GPO でこの設定に別の値が構成されていない限り、ここで定義された規則が実施されます。 |
規則の実施 |
規則が実施されます。 |
監査のみ |
規則は監査されますが、実施されません。AppLocker の規則の影響を受けるアプリをユーザーが実行すると、実行が許可され、アプリに関する情報が AppLocker イベント ログに追加されます。監査のみの実施モードは、ポリシーを実施する前に、ポリシーによって影響を受けるアプリを特定するのに便利です。規則のコレクションの AppLocker ポリシーが [監査のみ] に設定されている場合、その規則のコレクションに対する規則は実施されません。 |
さまざまな GPO の AppLocker ポリシーが結合されると、すべての GPO の規則が結合され、優先順位の高い GPO の実施モード設定が実施されます。
規則のコレクション
AppLocker コンソールは、規則のコレクション (実行可能ファイル、スクリプト、Windows インストーラー ファイル、パッケージ アプリとパッケージ アプリのインストーラー、DLL ファイル) に分かれています。これらのコレクションによって、アプリの種類ごとに規則を簡単に区別できます。次の表では、各規則のコレクションに含まれるファイル形式を示します。
規則のコレクション | 関連付けられているファイル形式 |
---|---|
実行可能ファイル |
.exe .com |
スクリプト |
.ps1 .bat .cmd .vbs .js |
Windows インストーラー ファイル |
.msi .msp .mst |
パッケージ アプリおよびパッケージ アプリのインストーラー |
.appx |
DLL ファイル |
.dll .ocx |
重要
DLL の規則を使用する場合は、許可されるすべてのアプリで使用される DLL ごとに、許可規則を作成する必要があります。
DLL の規則を使用する場合、AppLocker では、アプリケーションが読み込む DLL を 1 つずつ確認します。このため、DLL の規則を使用すると、パフォーマンスが低下する可能性があります。
DLL の規則のコレクションは、既定では有効になっていません。DLL の規則のコレクションを有効にする方法については、「DLL の規則のコレクション」をご覧ください。
規則の条件
規則の条件とは、規則を適用するアプリを AppLocker が特定するときに使用する基準です。規則に関する標準の条件とは、発行元、パス、ファイル ハッシュの 3 つです。
発行元: デジタル署名に基づいてアプリを特定します。
パス: コンピューターのファイル システムまたはネットワーク上の場所によってアプリを特定します。
ファイル ハッシュ: 特定するファイルの、システムによって計算される暗号化ハッシュを表します。
発行元
この条件では、アプリのデジタル署名と拡張属性を使用できる場合に、その署名と属性に基づいてアプリが特定されます。デジタル署名には、アプリを作成した会社 (発行元) に関する情報が含まれます。実行可能ファイル、DLL、Windows インストーラー、パッケージ アプリとパッケージ アプリのインストーラーにも拡張属性があります。拡張属性はバイナリ リソースから取得されます。実行可能ファイル、DLL、および Windows インストーラーの場合、これらの属性には、製品名 (ファイル名はこの一部をとって付けられる)、発行元によって提供される元のファイル名、ファイルのバージョン番号が含まれます。パッケージ アプリとパッケージ アプリのインストーラーの場合、これらの拡張属性には、アプリ パッケージの名前とバージョンが含まれます。
注
Windows では、署名されていないパッケージ アプリとパッケージ アプリのインストーラーがサポートされていないため、パッケージ アプリとパッケージ アプリ インストーラーの規則のコレクションで作成された規則には、発行元の条件しか含めることができません。
注
発行元の規則の条件は、アプリの更新やファイルの場所の変更の影響を受けないため、できるだけ発行元の規則の条件を使用してください。
発行元の条件用に参照ファイルを選択すると、ウィザードによって発行元、製品、ファイル名、およびバージョン番号を指定する規則が作成されます。スライダーを上へ移動するか、製品、ファイル名、またはバージョン番号のフィールドにワイルドカード文字 (*) を使用することで、規則の汎用性を高めることもできます。
注
規則の作成ウィザードで発行元の規則の条件のフィールドにカスタム値を入力するには、[カスタム値を使用する] チェック ボックスをオンにする必要があります。このチェック ボックスをオンにした場合、スライダーは使用できません。
[ファイル バージョン] と [パッケージ バージョン] では、アプリの特定のバージョンか、それよりも前または後のバージョンを実行できるかどうかを制御します。バージョン番号を選択したうえで、次のオプションを構成できます。
対象バージョン。このバージョンのアプリにのみ、規則が適用されます。
以上。このバージョン以降のすべてのバージョンに、規則が適用されます。
以下。このバージョン以前のすべてのバージョンに、規則が適用されます。
次の表では、発行元の条件がどのように適用されるかを示します。
オプション | 発行元の条件により許可または拒否されるオブジェクト |
---|---|
署名されたすべてのファイル |
発行元によって署名されているすべてのファイル。 |
発行元のみ |
指定の発行元によって署名されているすべてのファイル。 |
発行元と製品名 |
指定の発行元によって署名されている、指定された製品に関するすべてのファイル。 |
発行元、製品名、およびファイル名 |
発行元によって署名されている、指定された製品に関する特定のファイルまたはパッケージのすべてのバージョン。 |
発行元、製品名、ファイル名、およびファイル バージョン |
対象バージョン 発行元によって署名されている製品に関する、特定のファイルまたはパッケージの指定バージョン。 |
発行元、製品名、ファイル名、およびファイル バージョン |
以上 発行元によって署名されている製品に関する、特定のファイルまたはパッケージの指定バージョンと、より新しいすべてのリリース。 |
発行元、製品名、ファイル名、およびファイル バージョン |
以下 発行元によって署名されている製品に関する、特定のファイルまたはパッケージの指定バージョンと、以前のすべてのバージョン。 |
カスタム |
[発行元]、[製品名]、[ファイル名]、[バージョン]、[パッケージ名]、および [パッケージ バージョン] の各フィールドを編集して、カスタム規則を作成できます。 |
Path (英語の可能性あり)
この規則の条件では、コンピューターのファイル システムまたはネットワーク上のアプリケーションの場所によって、アプリケーションを識別します。
AppLocker では、Program Files や Windows などの既知のパスにカスタム パス変数が使用されます。
次の表では、これらのパス変数の詳細を示します。
Windows ディレクトリまたはディスク | AppLocker パス変数 | Windows 環境変数 |
---|---|---|
Windows |
%WINDIR% |
%SystemRoot% |
System32 |
%SYSTEM32% |
%SystemDirectory% |
Windows インストール ディレクトリ |
%OSDRIVE% |
%SystemDrive% |
Program Files |
%PROGRAMFILES% |
%ProgramFiles% および %ProgramFiles(x86)% |
リムーバブル メディア (例: CD、DVD など) |
%REMOVABLE% |
|
リムーバブル記憶装置 (例: USB フラッシュ ドライブ) |
%HOT% |
重要
パスの規則の条件によっては、多数のフォルダーやファイルを含むように構成されることがあるため、パスの条件は慎重に計画してください。たとえば、パスの条件を使用している許可規則に、管理者以外のユーザーがデータを書き込むことができるフォルダーが含まれている場合、承認されていないファイルをユーザーがそのフォルダーにコピーして、ファイルを実行できます。このため、ユーザー プロファイルなど、標準ユーザーによる書き込みが可能な場所に対してはパスの条件を作成しないことをお勧めします。
ファイル ハッシュ
ファイル ハッシュの規則の条件を選択した場合、指定したファイルの暗号化ハッシュがシステムによって計算されます。この規則の条件の利点は、各ファイルが一意のハッシュを持つため、1 つのファイル ハッシュの規則の条件が 1 つのファイルにのみ適用されることです。欠点は、セキュリティ更新やアップグレードなどでファイルが更新されるたびにファイルのハッシュが変わることです。そのため、ファイル ハッシュの規則を手動で更新する必要があります。
AppLocker の既定の規則
AppLocker では、規則のコレクションごとに既定の規則を作成できます。
実行可能ファイルの既定の規則の種類は次のとおりです。
ローカルの Administrators グループのメンバーに、すべてのアプリの実行を許可します。
Everyone グループのメンバーに、Windows フォルダーに格納されているアプリの実行を許可します。
Everyone グループのメンバーに、Program Files フォルダーに格納されているアプリの実行を許可します。
スクリプトの既定の規則の種類は次のとおりです。
ローカルの Administrators グループのメンバーに、すべてのスクリプトの実行を許可します。
Everyone グループのメンバーに、Program Files フォルダーに格納されているスクリプトの実行を許可します。
Everyone グループのメンバーに、Windows フォルダーに格納されているスクリプトの実行を許可します。
Windows インストーラーの既定の規則の種類は次のとおりです。
ローカルの Administrators グループのメンバーに、すべての Windows インストーラー ファイルの実行を許可します。
Everyone グループのメンバーに、デジタル署名されたすべての Windows インストーラー ファイルの実行を許可します。
Everyone グループのメンバーに、Windows\Installer フォルダーに格納されているすべての Windows インストーラー ファイルの実行を許可します。
DLL の既定の規則の種類は次のとおりです。
ローカルの Administrators グループのメンバーに、すべての DLL の実行を許可します。
Everyone グループのメンバーに、Program Files フォルダーに格納されている DLL の実行を許可します。
Everyone グループのメンバーに、Windows フォルダーに格納されている DLL の実行を許可します。
パッケージ アプリの既定の規則の種類は次のとおりです。
- Everyone グループのメンバーに、署名されたすべてのパッケージ アプリとパッケージ アプリのインストーラーのインストールと実行を許可します。
AppLocker の規則の動作
特定の規則のコレクションに対して AppLocker の規則が設定されていない場合、その規則に関連するファイル形式を持つすべてのファイルの実行が許可されます。ただし、特定の規則のコレクションに対して AppLocker の規則が作成されると、規則内で明示的に許可されたファイルのみ実行が許可されます。たとえば、%SystemDrive%\FilePath にある .exe ファイルの実行を許可する実行可能ファイルの規則を作成すると、このパスに格納されている実行可能ファイルのみ、実行が許可されます。
規則は、許可操作または拒否操作を使用するように構成できます。
許可。環境内で実行を許可するファイルと、ユーザーまたはユーザー グループを指定できます。また、例外を構成して、規則から除外するファイルを指定することもできます。
拒否。環境内で実行を許可しないファイルと、ユーザーまたはユーザー グループを指定できます。notまた、例外を構成して、規則から除外するファイルを指定することもできます。
重要
例外を設定して許可操作を使用することをお勧めします。 許可操作と拒否操作は組み合わせて使用できますが、拒否操作は必ず許可操作よりも優先されるため、回避される可能性があります。
重要
Windows Server 2012 または Windows 8 以降を実行しているコンピューターを、実行可能ファイルに対して AppLocker 規則が既に実施されているドメインに参加させると、パッケージ アプリの規則を作成しない限り、ユーザーがパッケージ アプリを実行することはできません。実行可能ファイルの制御を続けながら、環境内のパッケージ アプリを許可するには、パッケージ アプリに対して既定の規則を作成し、パッケージ アプリの規則のコレクションの実施モードを [監査のみ] に設定する必要があります。
規則の例外
AppLocker の規則は、個々のユーザーに適用することも、ユーザー グループに適用することもできます。規則をユーザー グループに適用すると、そのグループのすべてのユーザーが、この規則の影響を受けます。ユーザー グループのサブセットにアプリの使用を許可する必要がある場合は、そのサブセット用に特別な規則を作成できます。たとえば、"すべてのユーザーがレジストリ エディター以外は Windows を実行できる" という規則では、組織内のすべてのユーザーに Windows オペレーティング システムの実行を許可しますが、どのユーザーにもレジストリ エディターの実行は許可しません。
その結果、この規則のために、ヘルプ デスク担当者などのユーザーは、サポート業務に必要なプログラムを実行できなくなります。この問題を解決するため、ヘルプ デスク ユーザー グループに適用する "ヘルプ デスクにレジストリ エディターの実行を許可する" という第 2 の規則を作成します。ただし、すべてのユーザーにレジストリ エディターの実行を許可しない拒否規則を作成した場合、この拒否規則は、ヘルプ デスク ユーザー グループにレジストリ エディターの実行を許可する第 2 の規則よりも優先されます。
DLL の規則のコレクション
DLL の規則のコレクションは既定では有効にされていないため、DLL の規則を作成し、実施するには、まず次の手順を実行する必要があります。
この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。
DLL の規則のコレクションを有効にするには
[スタート] ボタンをクリックし、「secpol.msc」と入力して、Enter キーを押します。
[ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。
コンソール ツリーで、[アプリケーション制御ポリシー] をダブルクリックし、[AppLocker] を右クリックして、[プロパティ] をクリックします。
[詳細設定] タブで [DLL の規則のコレクションを有効にする] チェック ボックスをオンにし、[OK] をクリックします。
重要
DLL の規則を適用する前に、許可されているアプリのいずれかで使用されている各 DLL に対して許可規則があることを確認してください。
AppLocker のウィザード
規則を作成するには、2 つの AppLocker ウィザードを使用します。
規則の作成ウィザードを使用すると、一度に 1 つの規則を作成できます。
規則の自動生成ウィザードを使用すると、一度に複数の規則を作成できます。たとえば、フォルダーを 1 つ選択し、ウィザードを使って、そのフォルダー内の関連するファイルに適用する規則を作成できます。また、パッケージ アプリの場合は、コンピューター上にインストールされているすべてのパッケージ アプリに適用する規則を、このウィザードで作成できます。規則を適用するユーザーまたはグループを指定することもできます。このウィザードでは、許可規則のみが自動的に生成されます。
その他の考慮事項
既定の AppLocker 規則では、ユーザーは許可されていないファイルを開いたり、実行したりすることはできません。管理者は、許可するアプリケーションの最新の一覧を保持しておく必要があります。
アプリが更新されると効力を失う AppLocker の条件には、次の 2 種類があります。
ファイル ハッシュの規則の条件: ファイル ハッシュの規則の条件は、規則が作成された時点でアプリの暗号化ハッシュ値が生成されるため、どのアプリにも使用できます。ただし、このハッシュ値は、そのアプリのそのバージョンに固有のものです。組織内でアプリケーションの複数のバージョンが使用されている場合、使用中のバージョンと、新しくリリースされたバージョンごとにファイル ハッシュの条件を作成する必要があります。
特定の製品バージョンが設定されている発行元の条件: バージョン オプションに [対象バージョン] を使用して発行元の規則の条件を作成した場合、新しいバージョンのアプリがインストールされると、規則は効力を失います。新しい発行元の条件を作成するか、規則内でバージョンを編集して適用対象を広げる必要があります。
アプリにデジタル署名がない場合、そのアプリに発行元の規則の条件を使用することはできません。
AppLocker の規則は、Windows Server 2008 R2 または Windows 7 よりも前の Windows オペレーティング システムを実行しているコンピューターの管理には使用できません。代わりに、ソフトウェアの制限のポリシーを使用する必要があります。AppLocker の規則がグループ ポリシー オブジェクト (GPO) で定義されている場合、それらの規則のみが適用されます。ソフトウェアの制限のポリシーの規則と AppLocker の規則との間の相互運用性を確保するため、ソフトウェアの制限のポリシーの規則と AppLocker の規則は別々の GPO に定義してください。
パッケージ アプリとパッケージ アプリ インストーラーの規則のコレクションは、Windows Server 2012 および Windows 8 以降を実行しているデバイスで利用できます。
実行可能な規則のコレクションの規則が実施され、パッケージ アプリとパッケージ アプリ インストーラーの規則のコレクションに規則が含まれていない場合、パッケージ アプリとパッケージ アプリのインストーラーは両方とも実行が許可されません。パッケージ アプリおよびパッケージ アプリのインストーラーを許可するには、パッケージ アプリおよびパッケージ アプリ インストーラーの規則のコレクションに対して規則を作成する必要があります。
AppLocker の規則のコレクションが [監査のみ] に設定されている場合、その規則は実施されません。規則に含まれているアプリをユーザーが実行すると、アプリが開き、通常どおりに実行されます。そのアプリの情報は、AppLocker イベント ログに追加されます。
アプリがブロックされた場合に表示されるメッセージに、カスタム構成 URL を含めることができます。
許可されていないアプリは実行できないということをユーザーが認識するまでは、ヘルプ デスク宛てにアプリがブロックされるという問い合わせが増える可能性があります。