AppLocker ポリシー管理の計画

この記事では、AppLocker ポリシーを管理および管理するためのプロセスを確立するために必要な決定について説明します。

ポリシー管理

デプロイ プロセスを開始する前に、時間の経過に伴う AppLocker ルールの管理を検討してください。 AppLocker ルールを管理するプロセスを開発することで、AppLocker が引き続きorganizationでのアプリケーションの実行を許可する方法を効果的に制御できます。

アプリケーションとユーザーのサポート ポリシー

AppLocker ルールを管理するプロセスを開発することで、AppLocker が引き続きorganizationでのアプリケーションの実行を許可する方法を効果的に制御できます。 考慮事項は次のとおりです。

  • ブロックされたアプリケーションに対して提供されるエンド ユーザー サポートの種類は何ですか?
  • 新しいルールはどのようにポリシーに追加されますか?
  • 既存のルールはどのように更新されますか?
  • イベントはレビューのために転送されますか?

ヘルプ デスクのサポート

organizationにヘルプ デスク サポート部門が確立されている場合は、AppLocker ポリシーを展開するときに次の点を考慮してください。

  • サポート部門が新しいポリシーの展開に必要なドキュメントは何ですか?
  • アプリケーション制御ポリシーの影響を受ける各ビジネス グループの重要なプロセスと、それらがサポート部門のワークロードにどのような影響を与える可能性がありますか?
  • サポート部門の連絡先は誰ですか?
  • エンド ユーザーのアプリケーション制御の問題はどのように解決されますか?

エンド ユーザーのサポート

AppLocker は承認されていないアプリの実行をブロックするため、organizationはエンド ユーザーのサポートを提供する方法を慎重に計画することが重要です。 考慮事項は次のとおりです。

  • イントラネット サイトを、ブロックされたアプリに遭遇したユーザーのサポートの最前線として使用しますか?
  • ポリシーの例外をどのようにサポートしますか?

イントラネット サイトの使用

AppLocker は、既定のブロック メッセージを表示するように構成できますが、カスタム URL を使用できます。 この URL を使用すると、ユーザーがエラーを受け取った理由と、許可されているアプリケーションに関する情報を含むサポート サイトにユーザーをリダイレクトできます。 アプリがブロックされたときにメッセージのカスタム URL を表示しない場合は、既定の URL が使用されます。

次の図は、ブロックされたアプリのエラー メッセージの例を示しています。 [ サポート Web リンクの設定 ] ポリシー設定を使用して、[ 詳細情報 ] リンクをカスタマイズできます。

applocker でアプリケーションのエラー メッセージがブロックされました。

メッセージのカスタム URL を表示する手順については、「 ユーザーがブロックされたアプリを実行しようとしたときにカスタム URL メッセージを表示する」を参照してください。

AppLocker イベント管理

プロセスの実行が試行されるたびに、AppLocker によって AppLocker イベント ログにイベントが作成されます。 イベントには、実行しようとしたファイル、ファイルを開始したユーザー、およびファイルをブロックまたは許可した AppLocker ルール GUID に関する情報が含まれます。 AppLocker イベント ログは、 アプリケーションとサービス ログ\Microsoft\Windows\AppLocker のパスにあります。 AppLocker ログには、次の 3 つのログが含まれています。

  1. EXE と DLL。 実行可能ファイルと DLL 規則コレクションの影響を受けるすべてのファイル (.exe、.com、.dll、および .ocx) のイベントが含まれます。
  2. MSI とスクリプト。 Windows インストーラーとスクリプト ルール コレクションの影響を受けるすべてのファイル (.msi、.msp、.ps1、.bat、.cmd、.vbs、および .js) のイベントが含まれます。
  3. Packaged app-Deployment または Packaged app-Execution には、パッケージ 化されたアプリとパックされたアプリ インストーラールール コレクション (.appx) の影響を受けるすべてのユニバーサル Windows アプリのイベントが含まれます。

これらのイベントを一元的な場所に収集すると、AppLocker ポリシーを維持し、規則の構成に関する問題のトラブルシューティングに役立ちます。

ポリシーのメンテナンス

アプリがデプロイ、更新、または廃止されると、ポリシールールを最新の状態に保つ必要があります。

AppLocker ポリシーを編集するには、規則を追加、変更、または削除します。 ただし、より多くのルールをインポートしてポリシーのバージョンを指定することはできません。 AppLocker ポリシーを変更するときにバージョン管理を確保するには、グループ ポリシー管理ソフトウェアを使用して、グループ ポリシー オブジェクト (GPO) のバージョンを作成できます。 この種類のソフトウェアの例としては、Microsoft デスクトップ最適化パックの高度なグループ ポリシー管理機能があります。 詳細については、「高度なグループ ポリシー管理の概要」を参照してください。

重要

AppLocker ルール コレクションは、グループ ポリシーで適用されている間は編集しないでください。 AppLocker は実行できるファイルを制御するため、ライブ ポリシーを変更すると予期しない動作が発生する可能性があります。

サポートされているアプリの新しいバージョン

アプリの新しいバージョンがorganizationにデプロイされると、そのアプリの以前のバージョンを引き続きサポートするかどうかを判断する必要があります。 新しいバージョンを追加するには、アプリに関連付けられているファイルごとに新しいルールを作成するだけで済む場合があります。 発行元の条件を使用していて、バージョンが指定されていない場合は、更新されたファイルの実行を許可するために既存のルールで十分な場合があります。 ただし、変更するファイル名または新しいファイルを追加する場合は、チェックする必要があります。 その場合は、既存のルールを変更するか、新しいルールを作成する必要があります。 デジタル署名が変更されたファイルの発行元ベースのルールを更新する必要がある場合があります。

アプリの更新中にファイルが変更されたかどうかを確認するには、更新プログラム パッケージに付属する発行元のリリースの詳細を確認します。 パブリッシャーの Web ページを確認して、この情報を取得することもできます。 各ファイルを検査してバージョンを確認することもできます。

ファイル ハッシュ条件で許可または拒否されたファイルの場合は、新しいファイル ハッシュを取得し、ルールにその新しいハッシュが含まれるようにする必要があります。

パス条件を持つファイルの場合は、インストール パスが同じであることを確認する必要があります。 パスが変更された場合は、新しいバージョンのアプリをインストールする前に、新しいパスのルールを追加する必要があります。

最近デプロイされたアプリ

新しいアプリをサポートするには、既存の AppLocker ポリシーに 1 つ以上のルールを追加する必要があります。

アプリはサポートされなくなりました

AppLocker ルールが関連付けられているアプリケーションがorganizationでサポートされなくなった場合は、ルールを削除してアプリをブロックできます。

アプリはブロックされていますが、許可する必要があります

ファイルは、次の 3 つの理由でブロックされる可能性があります。

  • 最も一般的な理由は、アプリの実行を許可するルールが存在しないということです。
  • 制限が厳しすぎるファイルに対して作成された既存のルールが存在する可能性があります。
  • オーバーライドできない拒否ルールが、ファイルを明示的にブロックしています。

ルール コレクションを編集する前に、まず、ファイルの実行を妨げているルールを特定します。 問題のトラブルシューティングを行うには、Test-AppLockerPolicy Windows PowerShell コマンドレットを使用します。 AppLocker ポリシーのトラブルシューティングの詳細については、「AppLocker ポリシー のテストと更新」を参照してください。

結果を記録する

この AppLocker 計画ドキュメントを完了するには、まず次の手順を完了する必要があります。

  1. アプリケーション制御の目的を決定します。
  2. 各ビジネス グループに展開されているアプリケーションの一覧の作成
  3. 作成する規則の種類の選択
  4. グループ ポリシー構造と規則の実施の決定
  5. AppLocker ポリシー管理の計画

AppLocker ポリシー管理を決定する 3 つの重要な領域は次のとおりです。

  1. サポート ポリシー

    ブロックされたアプリを実行しようとしたユーザーからの呼び出しを処理するプロセスを文書化し、サポート担当者がポリシーの推奨されるトラブルシューティング手順とエスカレーション ポイントを把握していることを確認します。

  2. イベント処理

    イベントが収集される場所、アーカイブされる頻度、およびイベントが分析のために処理される方法を文書化します。

  3. ポリシーのメンテナンス

    ポリシーのメンテナンスとライフサイクルプランの詳細を確認します。

次の表に、AppLocker ポリシーを維持および管理する方法を決定するときに収集された追加のサンプル データを示します。

ビジネス グループ 組織単位 AppLocker を実装しますか? アプリ インストール パス 既定のルールを使用するか、新しいルール条件を定義する 許可または拒否 GPO 名 サポート ポリシー
銀行窓口 Teller-East と Teller-West はい Teller Software C:\Program Files\Woodgrove\Teller.exe ファイルは署名されています。発行元の条件を作成する 許可 Tellers-AppLockerTellerRules Web ヘルプ
Windows ファイル C:\windows \Windows\Temp を除外する既定のルールへのパス例外を作成する 許可 ヘルプデスク
人材 HR-All はい 支払いを確認する C:\Program Files\Woodgrove\HR\Checkcut.exe ファイルは署名されています。発行元の条件を作成する 許可 HR-AppLockerHRRules Web ヘルプ
タイム シート オーガナイザー C:\Program Files\Woodgrove\HR\Timesheet.exe ファイルが署名されていません。ファイル ハッシュ条件を作成する 許可 Web ヘルプ
インターネット エクスプローラー 7 C:\Program Files\Internet エクスプローラー

 ファイルは署名されています。発行元の条件を作成する 拒否 Web ヘルプ
Windows ファイル C:\windows Windows パスの既定の規則を使用する 許可 ヘルプデスク

次の 2 つの表は、AppLocker ポリシーを維持および管理するための考慮事項を文書化する例を示しています。

イベント処理ポリシー

アプリを使用するための 1 つの検出方法は、AppLocker 強制モードを [監査のみ] に設定することです。 この強制モードでは、AppLocker ログにイベントが書き込まれます。これは、他の Windows ログと同様に管理および分析できます。 アプリが識別されたら、AppLocker イベントの処理とアクセスに関するポリシーの開発を開始できます。

次の表は、考慮して記録する内容の例です。

ビジネス グループ AppLocker イベントコレクションの場所 アーカイブ ポリシー 分析。 セキュリティ ポリシー
銀行窓口 転送先: srvBT093 の AppLocker イベント リポジトリ 標準 なし 標準
人材 転送しないでください。 srvHR004 60 か月 はい、概要レポートは月単位でマネージャーに報告されます 標準

ポリシーメンテナンスポリシー

アプリケーション制御ポリシーを更新する方法の文書化を開始します。

次の表は、考慮して記録する内容の例です。

ビジネス グループ ルール更新ポリシー アプリケーションの使用停止ポリシー アプリケーション バージョン ポリシー アプリケーション展開ポリシー
銀行窓口 計画: 月単位のオフィストリアージを通じて

緊急: ヘルプ デスクを通じて要求する

 オフィストリアージを通じて

30 日間の通知が必要です

 一般的なポリシー: 過去のバージョンを 12 か月間保持する

各アプリケーションのポリシーを一覧表示する

 ビジネス オフィスを通じて調整

30 日間の通知が必要です
人材 計画済み: 月単位から HR トリアージ

緊急: ヘルプ デスクを通じて要求する

 HR トリアージを通じて

30 日間の通知が必要です

 一般的なポリシー: 過去のバージョンを 60 か月間保持する

各アプリケーションのポリシーを一覧表示する

 HR を通じて調整

30 日間の通知が必要です