ソフトウェアの制限のポリシーの規則の使用

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

このトピックでは、ソフトウェア制限ポリシーを使用して、証明書、パス、インターネット ゾーン、およびハッシュの規則を操作する手順について説明します。

はじめに

ソフトウェア制限ポリシーを使用すると、どのソフトウェアの実行を許可するかを特定および指定することで、信頼できないソフトウェアからコンピューティング環境を保護できます。 グループ ポリシー オブジェクト (GPO) で、既定のセキュリティ レベルを [制限なし] または [許可しない] に設定し、既定でソフトウェアの実行を、許可するか、許可しないかのいずれかに設定できます。 特定のソフトウェアについてソフトウェア制限ポリシーの規則を作成することで、既定のセキュリティ レベルについての例外を指定できます。 たとえば、既定のセキュリティ レベルが [許可しない] に設定されている場合には、特定のソフトウェアに対して実行を許可する規則を作成できます。 規則の種類は次のとおりです。

• 証明書の規則

  手順については、「証明書の規則の操作」を参照してください。

• ハッシュの規則

  手順については、「ハッシュの規則の操作」を参照してください。

• インターネット ゾーンの規則

  手順については、「インターネット ゾーンの規則の操作」を参照してください。

• パスの規則

  手順については、「パスの規則の操作」を参照してください。

ソフトウェア制限ポリシーを管理するその他のタスクについては、「 ソフトウェア制限ポリシーの管理」を参照してください。

証明書の規則の操作

ソフトウェア制限ポリシーでは、署名証明書によってソフトウェアを特定できます。 ソフトウェアを特定する証明書の規則を作成し、セキュリティ レベルに応じてソフトウェアの実行を許可するか、実行を許可しないかを指定できます。 たとえば、証明書の規則を使用すると、ドメイン内にある信頼できる発行元のソフトウェアを、ダイアログを表示することなく自動的に信頼することができます。 証明書の規則を使えばほかにも、オペレーティング システム内の許可されていない領域でファイルを実行できます。 既定では、証明書の規則は有効になっていません。

グループ ポリシーを使用してドメインに規則を作成する場合には、グループ ポリシー オブジェクトの作成または変更の権限が必要になります。 ローカル コンピューターに規則を作成するときは、そのコンピューターの管理者の資格情報が必要です。

証明書の規則を作成するには

1. [ソフトウェアの制限のポリシー] を開きます。

2. コンソール ツリーまたは詳細ウィンドウのいずれかで [追加の規則] を右クリックし、[新しい証明書の規則] をクリックします。

3. [参照] をクリックし、証明書または署名されているファイルを選択します。

4. [セキュリティ レベル] で、[許可しない] または [制限なし] を選択します。

5. [説明] にこの規則の説明を入力し、[OK] をクリックします。

注意

• グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
• 既定では、証明書の規則は有効になっていません。
• 証明書の規則の影響を受けるファイルの種類は、ソフトウェアの制限のポリシーの詳細ウィンドウの [指定されたファイルの種類] に列挙されているもののみです。 指定されたファイルの種類の一覧は 1 つであり、それがあらゆる規則の間で共有されます。
• ソフトウェア制限ポリシーを有効にするには、ユーザーがコンピューターから一度ログオフしてから再度ログオンして、ポリシー設定を更新する必要があります。
• ポリシー設定に複数のソフトウェア制限ポリシーの規則が適用されている場合、競合に対処するための規則間の優先順位があります。

証明書の規則の有効化

証明書の規則を有効にする手順は、環境に応じて異なります。

• ローカル コンピューターの場合

• グループ ポリシー オブジェクトの場合で、かつドメインに参加しているサーバーで作業している場合

• グループ ポリシー オブジェクトの場合で、かつリモート サーバー管理ツールがインストールされているドメイン コントローラーまたはワークステーションで作業している場合

• ドメイン コントローラーのみの場合で、かつリモート サーバー管理ツール パックがインストールされているドメイン コントローラーまたはワークステーションで作業している場合

ローカル コンピューターの証明書の規則を有効にする

1. [ローカル セキュリティ設定] を開きます。

2. コンソール ツリーで、[セキュリティ設定]、[ローカルポリシー] の下にある [セキュリティ オプション] をクリックします。

3. 詳細ウィンドウで、[システム設定: ソフトウェア制限のポリシーのために Windows 実行可能ファイルに対して証明書の規則を使用する] をダブルクリックします。

4. 次のいずれかの操作を行い、[OK] をクリックします。

   • 証明書の規則を有効にするには、[有効] をクリックします。

   • 証明書の規則を無効にするには、[無効] をクリックします。

グループ ポリシー オブジェクトについて証明書の規則を有効にする場合で、かつドメインに参加しているサーバーで作業している場合

1. Microsoft 管理コンソール (MMC) を開きます。

2. [ファイル] メニューで、[スナップインの追加と削除] をクリックし、[追加] をクリックします。

3. [ローカル グループ ポリシー オブジェクト エディター] をクリックし、[追加] をクリックします。

4. [グループ ポリシー オブジェクトの選択] で、[参照] をクリックします。

5. [グループ ポリシー オブジェクトの参照] で、適切なドメイン、サイト、または組織単位のグループ ポリシー オブジェクト (GPO) を選択する、または新しいものを作成して、[完了] をクリックします。

6. [閉じる] をクリックしてから [OK] をクリックします。

7. コンソール ツリーで、GroupPolicyObject[ComputerName] ポリシー/コンピューターの構成/Windows の設定/セキュリティの設定/ローカル ポリシー/ の下にある[セキュリティ オプション] をクリックします。

8. 詳細ウィンドウで、[システム設定: ソフトウェア制限のポリシーのために Windows 実行可能ファイルに対して証明書の規則を使用する] をダブルクリックします。

9. ポリシー設定をまだ定義していない場合は、[これらのポリシーの設定を定義する] チェック ボックスをオンにします。

10. 次のいずれかの操作を行い、[OK] をクリックします。

    • 証明書の規則を有効にするには、[有効] をクリックします。

    • 証明書の規則を無効にするには、[無効] をクリックします。

グループ ポリシー オブジェクトについての証明書の規則を有効にする場合で、かつリモート サーバー管理ツールがインストールされているドメイン コントローラーまたはワークステーションで作業している場合

1. [Active Directory ユーザーとコンピューター] を開きます。

2. コンソール ツリーで、証明書の規則を有効にするグループ ポリシー オブジェクト (GPO) を右クリックします。

3. [プロパティ]、[グループ ポリシー] タブの順にクリックします。

4. [編集] をクリックして、編集する GPO を開きます。 このほか、[新規作成] をクリックして新しい GPO を作成し、[編集] をクリックする方法があります。

5. コンソール ツリーで、GroupPolicyObject[ComputerName] ポリシー/コンピューターの構成/Windows の設定/セキュリティの設定/ローカル ポリシー/ にある [セキュリティ オプション] をクリックします。

6. 詳細ウィンドウで、[システム設定: ソフトウェア制限のポリシーのために Windows 実行可能ファイルに対して証明書の規則を使用する] をダブルクリックします。

7. ポリシー設定をまだ定義していない場合は、[これらのポリシーの設定を定義する] チェック ボックスをオンにします。

8. 次のいずれかの操作を行い、[OK] をクリックします。

   • 証明書の規則を有効にするには、[有効] をクリックします。

   • 証明書の規則を無効にするには、[無効] をクリックします。

ドメイン コントローラーについてのみ証明書の規則を有効にする場合で、かつリモート サーバー管理ツールがインストールされているドメイン コントローラーまたはワークステーションで作業している場合

1. [ドメイン コントローラー セキュリティの設定] を開きます。

2. コンソール ツリーで、GroupPolicyObject [ComputerName] ポリシー/コンピューターの構成/Windows の設定/セキュリティの設定/ローカル ポリシー/ にある [セキュリティ オプション] をクリックします。

3. 詳細ウィンドウで、[システム設定: ソフトウェア制限のポリシーのために Windows 実行可能ファイルに対して証明書の規則を使用する] をダブルクリックします。

4. ポリシー設定をまだ定義していない場合は、[これらのポリシーの設定を定義する] チェック ボックスをオンにします。

5. 次のいずれかの操作を行い、[OK] をクリックします。

   • 証明書の規則を有効にするには、[有効] をクリックします。

   • 証明書の規則を無効にするには、[無効] をクリックします。

注意

証明書の規則を有効にするには、この手順を実行する必要があります。

信頼できる発行元のオプションの設定

ソフトウェアの署名は、増え続けるソフトウェア発行者およびアプリケーション開発者によって、そのアプリケーションの発行元が信頼できることを確認するために使用されています。 しかし、多くのユーザーは、自分がインストールするアプリケーションに関連付けられている署名証明書について理解していないか、ほとんど関心がありません。

管理者は証明書パスの検証ポリシーの [信頼された発行元] タブにあるポリシー オプションを使って、信頼できる発行元の証明書として許可する証明書を制御できます。

ローカル コンピューターの信頼された発行元ポリシー設定を構成するには

1. [スタート] 画面 で「gpedit.msc」と入力し、Enter キーを押します。

2. コンソール ツリーで、[ローカル コンピューター ポリシー\コンピューターの構成\Windows の設定\セキュリティの設定] の [公開キーのポリシー] をクリックします。

3. [証明書パス検証の設定] をダブルクリックし、[信頼された発行元] タブをクリックします。

4. [これらのポリシーの設定を定義する] チェック ボックスをオンにし、適用するポリシー設定を選択します。[OK] をクリックして新しい設定を適用します。

ドメインの信頼された発行元ポリシー設定を構成するには

1. [グループ ポリシー管理] を開きます。

2. コンソール ツリーで、編集する [既定のドメイン ポリシー] グループ ポリシー オブジェクト (GPO) が含まれているフォレストおよびドメインの [グループ ポリシー オブジェクト] をダブルクリックします。

3. [既定のドメイン ポリシー] GPO を右クリックし、[編集] をクリックします。

4. コンソール ツリーで、[コンピューターの構成\Windows の設定\セキュリティの設定] の [公開キーのポリシー] をクリックします。

5. [証明書パス検証の設定] をダブルクリックし、[信頼された発行元] タブをクリックします。

6. [これらのポリシーの設定を定義する] チェック ボックスをオンにし、適用するポリシー設定を選択します。[OK] をクリックして新しい設定を適用します。

ローカル コンピューターのコード署名に使用される証明書の管理を管理者のみに許可するには

1. [スタート] 画面で、[プログラムとファイルの検索]、または [Windows 8] の [デスクトップ] に「gpedit.msc」と入力し、Enter キーを押します。

2. コンソール ツリーで、[既定のドメイン ポリシー] または [ローカル コンピューター ポリシー] の [コンピューターの構成]、[Windows の設定]、[セキュリティの設定] をダブルクリックした後、[公開キーのポリシー] をクリックします。

3. [証明書パス検証の設定] をダブルクリックし、[信頼された発行元] タブをクリックします。

4. [これらのポリシーの設定を定義する] チェック ボックスをオンにします。

5. [信頼された発行元の管理] の [すべての管理者のみに信頼される発行元の管理を許可する] をクリックし、[OK] をクリックして新しい設定を適用します。

ドメインのコード署名に使用される証明書の管理を管理者のみに許可するには

1. [グループ ポリシー管理] を開きます。

2. コンソール ツリーで、編集する [既定のドメイン ポリシー] GPO が含まれているフォレストおよびドメインの [グループ ポリシー オブジェクト] をダブルクリックします。

3. [既定のドメイン ポリシー] GPO を右クリックし、[編集] をクリックします。

4. コンソール ツリーで、[コンピューターの構成\Windows の設定\セキュリティの設定] の [公開キーのポリシー] をクリックします。

5. [証明書パス検証の設定] をダブルクリックし、[信頼された発行元] タブをクリックします。

6. [これらのポリシーの設定を定義する] チェック ボックスをオンにし、必要な変更を行い、[OK] をクリックして新しい設定を適用します。

ハッシュの規則の操作

ハッシュとは、ソフトウェア プログラムまたはファイルを一意に特定できる固定長のバイトです。 ハッシュは、ハッシュ アルゴリズムによる計算で導き出されます。 あるソフトウェア プログラムについてハッシュの規則を作成すると、ソフトウェアの制限のポリシーによってプログラムのハッシュが計算されます。 ユーザーがソフトウェア プログラムを開こうとした時点で、プログラムのハッシュがソフトウェアの制限のポリシーの既存のハッシュの規則と比較されます。 ソフトウェア プログラムのハッシュは、そのプログラムがコンピューターのどこに置かれていても、常に同じです。 ただし、ソフトウェア プログラムがなんらかの形で変更されていると、ハッシュも変化します。このため、そのハッシュは、ソフトウェアの制限のポリシーのハッシュの規則によるハッシュと一致しなくなります。

たとえば、ハッシュの規則を作成してセキュリティ レベルを [許可しない] に設定すると、ユーザーが特定のファイルを実行できなくすることができます。 ファイルは名前の変更のほか、別のフォルダーに移動した場合でも、同じハッシュとなります。 ただし、ファイルそのものに変更を加えた場合には、ハッシュ値が変化するため、ファイルが制限の対象外になります。

ハッシュの規則を作成するには

1. [ソフトウェアの制限のポリシー] を開きます。

2. コンソール ツリーまたは詳細ウィンドウで [追加の規則] を右クリックし、[新しいハッシュの規則] をクリックします。

3. [参照] をクリックしてファイルを検索します。

   注意

   Windows XP では、事前に計算されたハッシュを [ファイル ハッシュ] に貼り付けることがでます。 Windows Server 2008 R2、Windows 7 以降のバージョンでは、このオプションは使用できません。

4. [セキュリティ レベル] で、[許可しない] または [制限なし] を選択します。

5. [説明] にこの規則の説明を入力し、[OK] をクリックします。

注意

• グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
• ウイルスやトロイの木馬の実行を防ぐことを目的としてハッシュの規則を作成することができます。
• ウイルスが実行されないようにするためのハッシュの規則を他のユーザーに使用してもらうときは、ソフトウェア制限ポリシーを使用してウイルスのハッシュを計算し、そのハッシュ値を他のユーザーに電子メールで送付してください。 ウイルス自体を電子メールで送信してはいけません。
• ウイルスが電子メールで送付されてきた場合には、メールの添付ファイルの実行を防止するためのパスの規則を作成する方法もあります。
• ファイルの名前を変更したり、別のフォルダーに移動したりした場合には、ハッシュは変わりません。 ファイル自体に変更を加えると、ハッシュが変化します。
• ハッシュの規則の影響を受けるファイルの種類は、ソフトウェアの制限のポリシーの詳細ウィンドウの [指定されたファイルの種類] に列挙されているもののみです。 指定されたファイルの種類の一覧は 1 つであり、それがあらゆる規則の間で共有されます。
• ソフトウェア制限ポリシーを有効にするには、ユーザーがコンピューターから一度ログオフしてから再度ログオンして、ポリシー設定を更新する必要があります。
• ポリシー設定に複数のソフトウェア制限ポリシーの規則が適用されている場合、競合に対処するための規則間の優先順位があります。

インターネット ゾーンの規則の操作

インターネット ゾーンの規則は、Windows インストーラー パッケージにのみ適用されます。 ゾーンの規則では、Internet Explorer で指定したゾーンから来たソフトウェアを特定できます。 ゾーンには、インターネット、ローカル イントラネット、制限付きサイト、信頼済みサイト、およびマイ コンピューターがあります。 インターネット ゾーンの規則は、ユーザーがソフトウェアをダウンロードおよびインストールするのを防ぐために設計されています。

インターネット ゾーンの規則を作成するには

1. [ソフトウェアの制限のポリシー] を開きます。

2. コンソール ツリーまたは詳細ウィンドウのいずれかで [追加の規則] を右クリックし、[新しいインターネット ゾーンの規則] をクリックします。

3. [インターネット ゾーン] で、インターネット ゾーンをクリックします。

4. [セキュリティ レベル] で、[許可しない] または [制限なし] を選択して、[OK] をクリックします。

注意

• グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
• ゾーンの規則は、.msi ファイル (Windows インストーラー パッケージ) にのみ適用されます。
• ソフトウェア制限ポリシーを有効にするには、ユーザーがコンピューターから一度ログオフしてから再度ログオンして、ポリシー設定を更新する必要があります。
• ポリシー設定に複数のソフトウェア制限ポリシーの規則が適用されている場合、競合に対処するための規則間の優先順位があります。

パスの規則の操作

パスの規則では、ファイル パスによってソフトウェアを特定します。 たとえば、既定のセキュリティ レベルが [許可しない] になっているコンピューターでも、各ユーザーに特定のフォルダーに対する無制限のアクセス権を付与することができます。 これには、ファイル パスを使用してパスの規則を作成し、そのセキュリティ レベルを [制限なし] に設定します。 この種の規則でよく使用するパスは、%userprofile%、%windir%、%appdata%、%programfiles%、および %temp% です。 このほか、ソフトウェアのレジストリ キーをパスとして使用したレジストリ パスの規則を作成できます。

ここに挙げた規則はパスを使って指定するため、ソフトウェア プログラムを移動すると、パスの規則が適用されなくなります。

パスの規則を作成するには

1. [ソフトウェアの制限のポリシー] を開きます。

2. コンソール ツリーまたは詳細ウィンドウのいずれかで [追加の規則] を右クリックし、[新しいパスの規則] をクリックします。

3. [パス] で、パスを入力するか、[参照] をクリックしてファイルまたはフォルダーを指定します。

4. [セキュリティ レベル] で、[許可しない] または [制限なし] を選択します。

5. [説明] にこの規則の説明を入力し、[OK] をクリックします。

注意事項

• Windows フォルダーなどの一部のフォルダーでは、セキュリティ レベルを [許可しない] に設定すると、オペレーティング システムの動作に悪影響を及ぼす可能性があります。 オペレーティング システムまたはそれに依存するプログラムに不可欠な要素を許可しない設定にしないようにしてください。

注意

• グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーを作成していない場合には、このポリシーの新規作成が必要になることがあります。
• ソフトウェアにパスの規則を作成し、セキュリティ レベルを [許可しない] に設定している場合には、そのソフトウェアを別の場所にコピーすると、そのソフトウェアを依然として実行できます。
• パスの規則でサポートされているワイルドカード文字は、* と ? です。
• パスの規則には、環境変数 (%programfiles%、%systemroot% など) を使用できます。
• コンピューターのどこに保存されているかはわからないものの、レジストリ キーはわかっているソフトウェアについて、パスの規則を作成するときには、レジストリ パスの規則を作成します。
• ユーザーが電子メールの添付ファイルを実行できないようにするには、電子メール プログラムの添付ファイル用ディレクトリについて、電子メールの添付ファイルを実行できないようにするパスの規則を作成します。
• パスの規則の影響を受けるファイルの種類は、ソフトウェアの制限のポリシーの詳細ウィンドウの [指定されたファイルの種類] に列挙されているもののみです。 指定されたファイルの種類の一覧は 1 つであり、それがあらゆる規則の間で共有されます。
• ソフトウェア制限ポリシーを有効にするには、ユーザーがコンピューターから一度ログオフしてから再度ログオンして、ポリシー設定を更新する必要があります。
• ポリシー設定に複数のソフトウェア制限ポリシーの規則が適用されている場合、競合に対処するための規則間の優先順位があります。

レジストリ パスの規則を作成するには

1. [スタート] 画面で「regedit」と入力します。

2. コンソール ツリーで、規則を作成するレジストリ キーを右クリックし、[キー名のコピー] をクリックします。 詳細ウィンドウに表示されている値の名前を確認してください。

3. [ソフトウェアの制限のポリシー] を開きます。

4. コンソール ツリーまたは詳細ウィンドウのいずれかで [追加の規則] を右クリックし、[新しいパスの規則] をクリックします。

5. [パス] にレジストリ キーの名前と、続いて値名を貼り付けます。

6. %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir% のように、レジストリ パスをパーセント記号 (%)で囲みます。

7. [セキュリティ レベル] で、[許可しない] または [制限なし] を選択します。

8. [説明] にこの規則の説明を入力し、[OK] をクリックします。