ソフトウェアの制限のポリシーの規則の使用

このトピックでは、ソフトウェア制限ポリシーを使用して、証明書、パス、インターネット ゾーン、およびハッシュの規則を操作する手順について説明します。

はじめに

ソフトウェア制限ポリシーを使用すると、どのソフトウェアの実行を許可するかを特定および指定することで、信頼できないソフトウェアからコンピューティング環境を保護できます。 既定でソフトウェアの実行が許可または許可されないように、グループ ポリシー オブジェクト (GPO) に対して既定のセキュリティ レベルである Unrestricted または Disallowed を定義できます。 特定のソフトウェアについてソフトウェア制限ポリシーの規則を作成することで、既定のセキュリティ レベルについての例外を指定できます。 たとえば、既定のセキュリティ レベルが [許可されていません] に設定されている場合は、特定のソフトウェアの実行を許可する規則を作成できます。 規則の種類は次のとおりです。

• 証明書の規則

  手順については、「 証明書ルールの使用」を参照してください。

• ハッシュ規則

  手順については、 ハッシュ 規則の操作を参照してください。

• インターネット ゾーンの規則

  手順については、「 インターネット ゾーン ルールの使用」を参照してください。

• パスルール

  手順については、「 パス ルールの操作」を参照してください。

ソフトウェア制限ポリシーを管理するその他のタスクについては、「 ソフトウェア制限ポリシーの管理」を参照してください。

証明書の規則の操作

ソフトウェア制限ポリシーでは、署名証明書によってソフトウェアを特定できます。 ソフトウェアを特定する証明書の規則を作成し、セキュリティ レベルに応じてソフトウェアの実行を許可するか、実行を許可しないかを指定できます。 たとえば、証明書の規則を使用すると、ドメイン内にある信頼できる発行元のソフトウェアを、ダイアログを表示することなく自動的に信頼することができます。 証明書の規則を使えばほかにも、オペレーティング システム内の許可されていない領域でファイルを実行できます。 既定では、証明書の規則は有効になっていません。

グループ ポリシーを使用してドメインに規則を作成する場合には、グループ ポリシー オブジェクトの作成または変更の権限が必要になります。 ローカル コンピューターに規則を作成するときは、そのコンピューターの管理者の資格情報が必要です。

証明書の規則を作成するには

1. [ソフトウェアの制限のポリシー] を開きます。

2. コンソール ツリーまたは詳細ペインで、[ 追加の規則] を右クリックし、[ 新しい証明書規則] をクリックします。

3. [ 参照] をクリックし、証明書または署名済みファイルを選択します。

4. [セキュリティ レベル] で、[許可されていません] または [無制限] をクリックします。

5. [ 説明] に、この規則の説明を入力し、[ OK] をクリックします。

注意

• グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
• 既定では、証明書の規則は有効になっていません。
• 証明書規則の影響を受けるファイルの種類は、ソフトウェア制限ポリシーの詳細ウィンドウの [指定されたファイルの種類 ] に表示されるファイルの種類のみです。 指定されたファイルの種類の一覧は 1 つであり、それがあらゆる規則の間で共有されます。
• ソフトウェア制限ポリシーを有効にするには、ユーザーがコンピューターから一度ログオフしてから再度ログオンして、ポリシー設定を更新する必要があります。
• ポリシー設定に複数のソフトウェア制限ポリシーの規則が適用されている場合、競合に対処するための規則間の優先順位があります。

証明書の規則の有効化

証明書の規則を有効にする手順は、環境に応じて異なります。

• ローカル コンピューターの場合

• グループ ポリシー オブジェクトの場合、ドメインに参加しているサーバー上にいる場合

• グループ ポリシー オブジェクトの場合、ユーザーは、リモート サーバー管理ツールがインストールされているドメイン コントローラーまたはワークステーション上にあります。

• ドメイン コントローラーのみ、およびリモート サーバー管理ツール パックがインストールされているドメイン コントローラーまたはワークステーション上にある場合

ローカル コンピューターの証明書の規則を有効にする

1. [ローカル セキュリティ設定] を開きます。

2. コンソール ツリーで、[セキュリティ設定]/[ローカル ポリシー] の下にある [セキュリティ オプション ] をクリックします。

3. 詳細ウィンドウで、[ システム設定: ソフトウェア制限ポリシーの Windows 実行可能ファイルで証明書規則を使用する] をダブルクリックします。

4. 次のいずれかの操作を行い、[OK] をクリック します。

   • 証明書規則を有効にするには、[ 有効] をクリックします。

   • 証明書規則を無効にするには、[ 無効] をクリックします。

グループ ポリシー オブジェクトについて証明書の規則を有効にする場合で、かつドメインに参加しているサーバーで作業している場合

1. Microsoft 管理コンソール (MMC) を開きます。

2. [ ファイル ] メニューの [ スナップインの追加と削除] をクリックし、[ 追加] をクリックします。

3. [ ローカル グループ ポリシー オブジェクト エディター] をクリックし、[ 追加] をクリックします。

4. [ グループ ポリシー オブジェクトの選択] で、[ 参照] をクリックします。

5. [ グループ ポリシー オブジェクトの参照] で、適切なドメイン、サイト、または組織単位でグループ ポリシー オブジェクト (GPO) を選択するか、新しいグループ ポリシー オブジェクトを作成して、[ 完了] をクリックします。

6. [ 閉じる] をクリックし、[OK] をクリック します。

7. コンソール ツリーの [GroupPolicyObject [ComputerName] Policy/Computer Configuration/Windows Settings/Security Settings/Local Policies/] の下にある Security Options をクリックします。

8. 詳細ウィンドウで、[ システム設定: ソフトウェア制限ポリシーの Windows 実行可能ファイルで証明書規則を使用する] をダブルクリックします。

9. このポリシー設定がまだ定義されていない場合は、[ これらのポリシー設定を定義 する] チェック ボックスをオンにします。

10. 次のいずれかの操作を行い、[OK] をクリック します。

    • 証明書規則を有効にするには、[ 有効] をクリックします。

    • 証明書規則を無効にするには、[ 無効] をクリックします。

グループ ポリシー オブジェクトについての証明書の規則を有効にする場合で、かつリモート サーバー管理ツールがインストールされているドメイン コントローラーまたはワークステーションで作業している場合

1. [Active Directory ユーザーとコンピューター] を開きます。

2. コンソール ツリーで、証明書の規則を有効にするグループ ポリシー オブジェクト (GPO) を右クリックします。

3. [ プロパティ] をクリックし、[ グループ ポリシー ] タブをクリックします。

4. [ 編集] をクリックして、編集する GPO を開きます。 [ 新規 ] をクリックして新しい GPO を作成し、[ 編集] をクリックすることもできます。

5. コンソールツリーで、GroupPolicyObject[ComputerName] ポリシー/コンピューター構成/Windows 設定/セキュリティ設定/ローカルポリシーの下にある [セキュリティ オプション] をクリックします。

6. 詳細ウィンドウで、[ システム設定: ソフトウェア制限ポリシーの Windows 実行可能ファイルで証明書規則を使用する] をダブルクリックします。

7. このポリシー設定がまだ定義されていない場合は、[ これらのポリシー設定を定義 する] チェック ボックスをオンにします。

8. 次のいずれかの操作を行い、[OK] をクリック します。

   • 証明書規則を有効にするには、[ 有効] をクリックします。

   • 証明書規則を無効にするには、[ 無効] をクリックします。

ドメイン コントローラーについてのみ証明書の規則を有効にする場合で、かつリモート サーバー管理ツールがインストールされているドメイン コントローラーまたはワークステーションで作業している場合

1. [ドメイン コントローラー セキュリティの設定] を開きます。

2. コンソール ツリーで、[GroupPolicyObject [ComputerName] ポリシー]/コンピューター構成/Windows 設定/セキュリティ設定/ローカル ポリシーの下にある [セキュリティ オプション] をクリックします。

3. 詳細ウィンドウで、[ システム設定: ソフトウェア制限ポリシーの Windows 実行可能ファイルで証明書規則を使用する] をダブルクリックします。

4. このポリシー設定がまだ定義されていない場合は、[ これらのポリシー設定を定義 する] チェック ボックスをオンにします。

5. 次のいずれかの操作を行い、[OK] をクリック します。

   • 証明書規則を有効にするには、[ 有効] をクリックします。

   • 証明書規則を無効にするには、[ 無効] をクリックします。

注意

証明書の規則を有効にするには、この手順を実行する必要があります。

信頼できる発行元のオプションの設定

ソフトウェアの署名は、増え続けるソフトウェア発行者およびアプリケーション開発者によって、そのアプリケーションの発行元が信頼できることを確認するために使用されています。 しかし、多くのユーザーは、自分がインストールするアプリケーションに関連付けられている署名証明書について理解していないか、ほとんど関心がありません。

証明書パス検証ポリシーの [ 信頼された発行元 ] タブのポリシー設定を使用すると、管理者は信頼された発行元からの証明書として受け入れられる証明書を制御できます。

ローカル コンピューターの信頼された発行元ポリシー設定を構成するには

1. スタート画面で、「gpedit.msc」と入力し、Enter キーを押します。

2. [ ローカル コンピューター ポリシー]、[コンピューターの構成]、[Windows の設定]、[セキュリティ設定] の下のコンソール ツリーで、[ 公開キー ポリシー] をクリックします。

3. [ 証明書パスの検証設定] をダブルクリックし、[ 信頼できる発行元 ] タブをクリックします。

4. [ これらのポリシー設定を定義 する] チェック ボックスをオンにし、適用するポリシー設定を選択し、[ OK] をクリックして新しい設定を適用します。

ドメインの信頼された発行元ポリシー設定を構成するには

1. グループ ポリシー管理を開きます。

2. コンソール ツリーで、編集する既定のドメイン ポリシーグループ ポリシー オブジェクト (GPO) を含むフォレストとドメインのグループ ポリシー オブジェクトをダブルクリックします。

3. 既定のドメイン ポリシー GPO を右クリックし、[編集] をクリックします。

4. コンソール ツリーの [ コンピューターの構成]、[Windows の設定]、[セキュリティ設定] の下の [ 公開キー ポリシー] をクリックします。

5. [ 証明書パスの検証設定] をダブルクリックし、[ 信頼できる発行元 ] タブをクリックします。

6. [ これらのポリシー設定を定義 する] チェック ボックスをオンにし、適用するポリシー設定を選択し、[ OK] をクリックして新しい設定を適用します。

ローカル コンピューターのコード署名に使用される証明書の管理を管理者のみに許可するには

1. スタート画面で、「プログラムとファイルの検索」または「Windows 8」で「gpedit.msc」と入力し、デスクトップで Enter キーを押します。

2. コンソール ツリーの [ 既定のドメイン ポリシー ] または [ ローカル コンピューター ポリシー] で、[ コンピューターの構成]、[ Windows の設定]、[ セキュリティの設定] をダブルクリックし、[ 公開キー ポリシー] をクリックします。

3. [ 証明書パスの検証設定] をダブルクリックし、[ 信頼できる発行元 ] タブをクリックします。

4. [ これらのポリシー設定を定義 する] チェック ボックスをオンにします。

5. [ 信頼された発行元の管理] で、[ 信頼できる発行元の管理をすべての管理者のみに許可する] をクリックし、[ OK] をクリックして新しい設定を適用します。

ドメインのコード署名に使用される証明書の管理を管理者のみに許可するには

1. グループ ポリシー管理を開きます。

2. コンソール ツリーで、編集する既定のドメイン ポリシーのGPOを含むフォレストとドメインのグループ ポリシー オブジェクトをダブルクリックします。

3. 既定のドメイン ポリシー GPO を右クリックし、[編集] をクリックします。

4. コンソール ツリーの [ コンピューターの構成]、[Windows の設定]、[セキュリティ設定] の下の [ 公開キー ポリシー] をクリックします。

5. [ 証明書パスの検証設定] をダブルクリックし、[ 信頼できる発行元 ] タブをクリックします。

6. [ これらのポリシー設定を定義 する] チェック ボックスをオンにし、必要な変更を実装し、[ OK] をクリックして新しい設定を適用します。

ハッシュの規則の操作

ハッシュとは、ソフトウェア プログラムまたはファイルを一意に特定できる固定長のバイトです。 ハッシュは、ハッシュ アルゴリズムによる計算で導き出されます。 あるソフトウェア プログラムについてハッシュの規則を作成すると、ソフトウェアの制限のポリシーによってプログラムのハッシュが計算されます。 ユーザーがソフトウェア プログラムを開こうとした時点で、プログラムのハッシュがソフトウェアの制限のポリシーの既存のハッシュの規則と比較されます。 ソフトウェア プログラムのハッシュは、そのプログラムがコンピューターのどこに置かれていても、常に同じです。 ただし、ソフトウェア プログラムがなんらかの形で変更されていると、ハッシュも変化します。このため、そのハッシュは、ソフトウェアの制限のポリシーのハッシュの規則によるハッシュと一致しなくなります。

たとえば、ハッシュ規則を作成し、セキュリティ レベルを [許可しない] に設定して、ユーザーが特定のファイルを実行できないようにすることができます。 ファイルは名前の変更のほか、別のフォルダーに移動した場合でも、同じハッシュとなります。 ただし、ファイルそのものに変更を加えた場合には、ハッシュ値が変化するため、ファイルが制限の対象外になります。

ハッシュの規則を作成するには

1. [ソフトウェアの制限のポリシー] を開きます。

2. コンソール ツリーまたは詳細ペインで、[ 追加の規則] を右クリックし、[ 新しいハッシュ規則] をクリックします。

3. [ 参照 ] をクリックしてファイルを検索します。

   注意

   Windows XP では、事前計算されたハッシュを ファイル ハッシュに貼り付けることができます。 Windows Server 2008 R2、Windows 7 以降のバージョンでは、このオプションは使用できません。

4. [セキュリティ レベル] で、[許可されていません] または [無制限] をクリックします。

5. [ 説明] に、この規則の説明を入力し、[ OK] をクリックします。

注意

• グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
• ウイルスやトロイの木馬の実行を防ぐことを目的としてハッシュの規則を作成することができます。
• ウイルスが実行されないようにするためのハッシュの規則を他のユーザーに使用してもらうときは、ソフトウェア制限ポリシーを使用してウイルスのハッシュを計算し、そのハッシュ値を他のユーザーに電子メールで送付してください。 ウイルス自体を電子メールで送信してはいけません。
• ウイルスが電子メールで送付されてきた場合には、メールの添付ファイルの実行を防止するためのパスの規則を作成する方法もあります。
• ファイルの名前を変更したり、別のフォルダーに移動したりした場合には、ハッシュは変わりません。 ファイル自体に変更を加えると、ハッシュが変化します。
• ハッシュ規則の影響を受けるファイルの種類は、ソフトウェア制限ポリシーの詳細ウィンドウの [指定されたファイルの種類 ] に表示されるファイルの種類のみです。 指定されたファイルの種類の一覧は 1 つであり、それがあらゆる規則の間で共有されます。
• ソフトウェア制限ポリシーを有効にするには、ユーザーがコンピューターから一度ログオフしてから再度ログオンして、ポリシー設定を更新する必要があります。
• ポリシー設定に複数のソフトウェア制限ポリシーの規則が適用されている場合、競合に対処するための規則間の優先順位があります。

インターネット ゾーンの規則の操作

インターネット ゾーンの規則は、Windows インストーラー パッケージにのみ適用されます。 ゾーンの規則では、Internet Explorer で指定したゾーンから来たソフトウェアを特定できます。 ゾーンには、インターネット、ローカル イントラネット、制限付きサイト、信頼済みサイト、およびマイ コンピューターがあります。 インターネット ゾーンの規則は、ユーザーがソフトウェアをダウンロードおよびインストールするのを防ぐために設計されています。

インターネット ゾーンの規則を作成するには

1. [ソフトウェアの制限のポリシー] を開きます。

2. コンソール ツリーまたは詳細ウィンドウで、[ 追加の規則] を右クリックし、[ 新しいインターネット ゾーン規則] をクリックします。

3. インターネット ゾーンで、インターネット ゾーンをクリックします。

4. [セキュリティ レベル] で、[許可しない] または [無制限] をクリックし、[OK] をクリックします。

注意

• グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
• ゾーンの規則は、.msi ファイル (Windows インストーラー パッケージ) にのみ適用されます。
• ソフトウェア制限ポリシーを有効にするには、ユーザーがコンピューターから一度ログオフしてから再度ログオンして、ポリシー設定を更新する必要があります。
• ポリシー設定に複数のソフトウェア制限ポリシーの規則が適用されている場合、競合に対処するための規則間の優先順位があります。

パスの規則の操作

パスの規則では、ファイル パスによってソフトウェアを特定します。 たとえば、既定のセキュリティ レベルが 許可されていないコンピューターがある場合でも、ユーザーごとに特定のフォルダーへの無制限のアクセス権を付与できます。 パス規則を作成するには、ファイル パスを使用し、パス規則のセキュリティ レベルを [無制限] に設定します。 この種の規則でよく使用するパスは、%userprofile%、%windir%、%appdata%、%programfiles%、および %temp% です。 このほか、ソフトウェアのレジストリ キーをパスとして使用したレジストリ パスの規則を作成できます。

ここに挙げた規則はパスを使って指定するため、ソフトウェア プログラムを移動すると、パスの規則が適用されなくなります。

パスの規則を作成するには

1. [ソフトウェアの制限のポリシー] を開きます。

2. コンソール ツリーまたは詳細ペインで、[ 追加の規則] を右クリックし、[ 新しいパス規則] をクリックします。

3. [ パス] にパスを入力するか、[ 参照 ] をクリックしてファイルまたはフォルダーを検索します。

4. [セキュリティ レベル] で、[許可されていません] または [無制限] をクリックします。

5. [ 説明] に、この規則の説明を入力し、[ OK] をクリックします。

注意事項

• Windows フォルダーなどの特定のフォルダーで、セキュリティ レベルを [許可しない] に設定すると、オペレーティング システムの動作に悪影響を及ぼす可能性があります。 オペレーティング システムまたはそれに依存するプログラムに不可欠な要素を許可しない設定にしないようにしてください。

注意

• グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーを作成していない場合には、このポリシーの新規作成が必要になることがあります。
• セキュリティ レベルが [許可されていません] のソフトウェアのパスルールを作成した場合でも、ユーザーは別の場所にコピーしてソフトウェアを実行できます。
• パスの規則でサポートされているワイルドカード文字は、* と ? です。
• パスの規則には、環境変数 (%programfiles%、%systemroot% など) を使用できます。
• コンピューターのどこに保存されているかはわからないものの、レジストリ キーはわかっているソフトウェアについて、パスの規則を作成するときには、レジストリ パスの規則を作成します。
• ユーザーが電子メールの添付ファイルを実行できないようにするには、電子メール プログラムの添付ファイル用ディレクトリについて、電子メールの添付ファイルを実行できないようにするパスの規則を作成します。
• パス規則の影響を受けるファイルの種類は、ソフトウェア制限ポリシーの詳細ウィンドウの [指定されたファイルの種類 ] に表示されるファイルの種類のみです。 指定されたファイルの種類の一覧は 1 つであり、それがあらゆる規則の間で共有されます。
• ソフトウェア制限ポリシーを有効にするには、ユーザーがコンピューターから一度ログオフしてから再度ログオンして、ポリシー設定を更新する必要があります。
• ポリシー設定に複数のソフトウェア制限ポリシーの規則が適用されている場合、競合に対処するための規則間の優先順位があります。

レジストリ パスの規則を作成するには

1. スタート画面で、「regedit」と入力します。

2. コンソール ツリーで、規則を作成するレジストリ キーを右クリックし、[ キー名のコピー] をクリックします。 詳細ウィンドウに表示されている値の名前を確認してください。

3. [ソフトウェアの制限のポリシー] を開きます。

4. コンソール ツリーまたは詳細ペインで、[ 追加の規則] を右クリックし、[ 新しいパス規則] をクリックします。

5. [ パス] にレジストリ キー名を貼り付け、その後に値の名前を貼り付けます。

6. %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir% のように、レジストリ パスをパーセント記号 (%)で囲みます。

7. [セキュリティ レベル] で、[許可されていません] または [無制限] をクリックします。

8. [ 説明] に、この規則の説明を入力し、[ OK] をクリックします。