作成する規則の種類の選択
この記事では、AppLocker を使用してアプリケーション制御ポリシー規則を作成するときに使用するリソースの一覧を示します。
グループごとに作成するルールの種類を決定する場合は、グループごとに使用する適用設定も決定する必要があります。 アプリケーションを特定のビジネス グループに展開する方法に応じて、一部のアプリに適用できるルールの種類が異なります。
次の記事では、アプリケーションに使用する規則を決定するのに役立つ AppLocker 規則に関する追加情報を提供します。
- AppLocker の規則の動作について
- AppLocker 規則の例外について
- AppLocker 規則のコレクションについて
- 規則に対する AppLocker の許可操作と拒否操作について
- AppLocker 規則条件の種類について
- AppLocker の既定の規則について
ルール コレクションを選択する
使用するルール コレクションは、次のような制御するファイルの種類によって異なります。
- 実行可能ファイル: .exe と.com
- Windows インストーラー ファイル: .msi、.msp、.mst
- スクリプト: .ps1、.bat、.cmd、.vbs、.js
- パッケージ 化されたアプリとパッケージ 化されたアプリ インストーラー: .appx
- DLL: .dll と .ocx
既定では、ルールでは、ユーザーまたはグループの特権に基づいてファイルを実行できます。 DLL ルールを使用する場合は、許可されているすべてのアプリで使用される DLL ごとに DLL 許可規則を作成する必要があります。 DLL ルール コレクションは、既定では有効になっていません。
Woodgrove Bank の例では、Bank Tellers ビジネス グループの基幹業務アプリは C:\Program Files\Woodgrove\Teller.exe であり、このアプリをルールに含める必要があります。 さらに、この規則は許可されるアプリケーションの一覧の一部であるため、C:\Windows のすべての Windows ファイルも含める必要があります。
ルールの条件を決定する
ルール条件は、AppLocker ルールの基になる条件であり、次の表のルール条件の 1 つのみを指定できます。
| ルール条件 | 使用シナリオ | リソース |
|---|---|---|
| 発行元 | 発行元の条件を使用するには、ソフトウェア発行元がファイルにデジタル署名する必要があります。または、組織の証明書を使用して署名する必要があります。 新しいバージョンのファイルがリリースされたときに、バージョン レベルに指定されたルールを更新する必要がある場合があります。 | この規則の条件の詳細については、「 AppLocker の発行元ルールの条件について」を参照してください。 |
| パス | このルール条件は、任意のファイルに割り当てることができます。 ただし、パス規則はファイル システム内の場所を指定するため、規則は任意のサブディレクトリに適用されます (明示的に除外されない限り)。 | この規則の条件の詳細については、「 AppLocker のパス規則の条件について」を参照してください。 |
| ファイル ハッシュ | このルール条件は、任意のファイルに割り当てることができます。 ただし、ハッシュ値が変更されるため、新しいバージョンのファイルがリリースされるたびにルールを更新する必要があります。 | この規則の条件の詳細については、「 AppLocker のファイル ハッシュ 規則の条件について」を参照してください。 |
Woodgrove Bank の例では、Bank Tellers ビジネス グループの基幹業務アプリが署名され、C:\Program Files\Woodgrove\Teller.exe にあります。 そのため、発行元の条件を使用してルールを定義できます。
システム ファイルの実行を許可する方法を決定する
AppLocker ルールは許可されているアプリの一覧を作成するため、すべての Windows ファイルの実行を許可するルールを作成する必要があります。 各ルール コレクションに対して AppLocker の既定のルールを生成して、システム アプリを確実に実行できます。 独自のルールを作成するときに、これらの既定の 規則 (AppLocker の既定の規則に記載されています) をテンプレートとして使用できます。 ただし、これらの規則は、Windows フォルダー内のシステム ファイルが実行されるように AppLocker ルールを最初にテストする場合にのみ、スターター ポリシーとして機能するように意図されています。 既定のルールが作成されると、その名前はルール コレクションの "(既定の規則)" で始まります。
パス条件に基づいてシステム ファイルのルールを作成することもできます。 前の例では、Bank Tellers グループでは、すべての Windows ファイルが C:\Windows の下に存在し、パス ルール条件の種類で定義できます。 この規則では、更新プログラムが適用され、ファイルが変更されるたびに、これらのファイルへのアクセスが許可されます。 アプリケーションのセキュリティを強化する必要がある場合は、組み込みの既定の規則コレクションから作成されたルールを変更する必要がある場合があります。 たとえば、すべてのユーザーが Windows フォルダー内のファイル .exe 実行できるようにする既定の規則は、Windows フォルダー内のすべてのファイルの実行を許可するパス条件に基づいています。 Windows フォルダーには、Users グループに次のアクセス許可が付与される Temp サブフォルダーが含まれています。
- フォルダーの走査/ファイルの実行
- ファイルの作成/データの書き込み
- フォルダーの作成/データの追加
これらのアクセス許可設定は、アプリケーションの互換性のためにこのフォルダーに適用されます。 ただし、ユーザーはこの場所にファイルを作成できるため、この場所からアプリを実行できるようにすると、organizationのセキュリティ ポリシーと競合する可能性があります。
次のステップ
作成するルールの種類を選択したら、「 AppLocker ルールを文書化する」で説明されているように結果を記録します。
作成する AppLocker ルールの結果を記録した後、ルールを適用する方法を検討する必要があります。 この適用を行う方法については、「構造と規則の適用グループ ポリシー決定する」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示