AppLocker を使用したアプリ使用状況の監視

IT プロフェッショナル向けのこの記事では、AppLocker ポリシーが適用されたときにアプリの使用状況を監視する方法について説明します。

AppLocker ポリシーを展開した後、デバイスへの影響を監視して、結果が期待どおりであることを確認します。

AppLocker ポリシーの効果を検出する

ドキュメントまたは監査目的で、またはポリシーを変更する前に、AppLocker ポリシーが現在実装されている方法を評価できます。 AppLocker ポリシー展開計画ドキュメントを更新すると、結果を追跡するのに役立ちます。 次の 1 つ以上の手順を実行して、AppLocker 規則を通じて現在適用されているアプリケーションコントロールを理解できます。

  • イベント ビューアーで AppLocker ログを分析する

    AppLocker ポリシーの適用が [ 規則の適用] に設定されている場合、ポリシーで許可されていないファイルはすべてブロックされます。 その場合、ルール コレクションの AppLocker イベント ログでイベントが発生します。 AppLocker ポリシーの適用が [監査のみ] に設定されている場合、規則は適用されませんが、AppLocker ログに書き込まれる監査イベント データを生成するために評価されます。

    ログにアクセスする手順の詳細については、「イベント ビューアーでの AppLocker ログの表示」を参照してください。

  • [監査のみ AppLocker の適用] 設定を有効にする

    [監査のみ適用] 設定を使用すると、AppLocker 規則がorganizationに対して適切に構成されていることを確認できます。 AppLocker ポリシーの適用が [監査のみ] に設定されている場合、ルールは評価されますが、その評価から生成されたすべてのイベントは AppLocker ログに書き込まれます。

    この構成を行う手順の詳細については、「 監査専用に AppLocker ポリシーを構成する」を参照してください。

  • Get-AppLockerFileInformation で AppLocker イベントを確認する

    イベント サブスクリプションとローカル イベントの両方で、Get-AppLockerFileInformation Windows PowerShell コマンドレットを使用して、どのファイルがブロックされたか、ブロックされるか (監査のみの適用モードを使用している場合)、および各ファイルに対してブロック イベントが発生した回数を判断できます。

    この検証を行う手順の詳細については、「 Get-AppLockerFileInformation を使用して AppLocker イベントを確認する」を参照してください。

  • Test-AppLockerPolicy を使用して AppLocker イベントを確認する

    Test-AppLockerPolicy Windows PowerShell コマンドレットを使用して、ルール コレクション内のルールのいずれかが、参照デバイスで実行されるファイルに影響を与えるか、ポリシーを管理しているデバイスで実行されるかを判断できます。

    このテストを実行する手順の詳細については、「 Test-AppLockerPolicy を使用して AppLocker ポリシーをテストする」を参照してください。

Get-AppLockerFileInformation を使用して AppLocker イベントを確認する

イベント サブスクリプションとローカル イベントの両方で、Get-AppLockerFileInformation Windows PowerShell コマンドレットを使用して、どのファイルがブロックされたか、ブロックされるか ([監査のみ適用] 設定が適用されている場合)、および各ファイルに対してブロック イベントが発生した回数を判断できます。

この手順を完了するには、ローカル の Administrators グループまたは同等のメンバーシップが最低限必要です。

AppLocker ログがローカル デバイスにない場合は、ログを表示するためのアクセス許可が必要です。 出力がファイルに保存されている場合は、そのファイルを読み取るアクセス許可が必要です。

Get-AppLockerFileInformation を使用して AppLocker イベントを確認するには

  1. コマンド プロンプトで、「 PowerShell」と入力し、[ENTER] を選択します。

  2. 次のコマンドを実行して、AppLocker ポリシーでファイルが許可されなかった回数を確認します。

    Get-AppLockerFileInformation -EventLog -EventType Audited -Statistics

  3. 次のコマンドを実行して、ファイルの実行が許可された回数、または実行が禁止された回数を確認します。

    Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics

イベント ビューアーで AppLocker ログを表示する

AppLocker ポリシーの適用が [ 規則の適用] に設定されている場合、ポリシーで許可されていないファイルはすべてブロックされます。 その場合、ルール コレクションの AppLocker イベント ログでイベントが発生します。 AppLocker ポリシーの適用が [監査のみ] に設定されている場合、規則は適用されませんが、AppLocker ログに書き込まれる監査イベント データを生成するために評価されます。

この手順を完了するには、ローカル の Administrators グループまたは同等のメンバーシップが最低限必要です。

イベント ビューアーを使用して AppLocker ログ内のイベントを表示するには

  1. イベント ビューアーを開くには、[スタート] メニューに「eventvwr.msc」と入力し、[ENTER] を選択します。
  2. コンソール ツリーの [ アプリケーションとサービス ログ]\Microsoft\Windows で、[ AppLocker] をダブルクリックします。

AppLocker イベントは、 EXE ログと DLL ログ、 MSI ログとスクリプト ログ、 またはパッケージ化されたアプリ展開 ログまたはパッケージ化 されたアプリ実行 ログのいずれかに一覧表示されます。 イベント情報には、適用設定、ファイル名、日付と時刻、ユーザー名が含まれます。 ログは、さらに分析するために他のファイル形式にエクスポートできます。