AppLocker の既定の規則について
適用対象: Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8
IT プロフェッショナル向けのこのトピックでは、ポリシーを適用したときに必要な Windows システム ファイルが確実に実行を許可されるように使用できる規則のセットについて説明します。
AppLocker では、規則の各コレクションに既定の規則が含まれています。 これらの規則は、Windows の正常な動作に必要なファイルを AppLocker の規則コレクションで使用できるようにするためのものです。
重要
独自の規則を作成するときのテンプレートとして既定の規則を使用できます。 ただし、これらの規則は、Windows フォルダー内のシステム ファイルが実行を許可されるように、AppLocker の規則を初めてテストするときのスターター ポリシーとして機能することだけを目的としています。
アプリケーションのセキュリティを強化する必要がある場合は、組み込まれている既定の規則のコレクションから作成される規則を変更する必要があります。 たとえば、Windows フォルダー内の .exe ファイルをすべてのユーザーが実行できるようにする既定の規則は、Windows フォルダー内のすべてのファイルの実行を許可するパス条件に基づいています。 Windows フォルダーには Temp サブフォルダーが含まれ、Users グループには次のアクセス許可が付与されています。
フォルダのスキャン/ファイルの実行
ファイルの作成/データの書き込み
フォルダの作成/データの追加
アプリケーションの互換性のため、このフォルダーにはこれらのアクセス許可設定が適用されます。 ただし、すべてのユーザーがこの場所にファイルを作成できるので、この場所からのアプリケーションの実行を許可すると、組織のセキュリティ ポリシーと競合する可能性があります。
AppLocker の個々の既定規則については、次をご覧ください。