AppLocker ポリシー設計の決定について
この記事では、AppLocker を使用してアプリケーション制御ポリシーの展開を計画するときに、AppLocker の設計に関する質問、考えられる回答、その他の考慮事項について説明します。
設計と計画のプロセスを開始するときは、設計の選択の効果を考慮する必要があります。 結果として得られる決定は、ポリシーの展開スキームとその後のアプリケーション制御ポリシーのメンテナンスに影響します。
次のすべてが当てはまる場合は、organizationのアプリケーション制御ポリシーの一部として AppLocker を使用することを検討する必要があります。
- organizationでサポートされているバージョンの Windows を実行しています。 特定のオペレーティング システムのバージョン要件については、「 AppLocker を使用するための要件」を参照してください。
- organizationのアプリケーションへのアクセスの制御を強化する必要があります。
- organization内のアプリケーションの数は既知で管理可能です。
- organizationの要件に対してポリシーをテストするためのリソースがあります。
- ヘルプ デスクに関連するリソースや、エンド ユーザー アプリケーションアクセスの問題に対するセルフヘルプ プロセスを構築するためのリソースがあります。
アプリケーション制御ポリシーをデプロイするときに考慮する必要がある質問を次に示します (ターゲット環境に適しています)。
organizationで制御する必要があるアプリはどれですか?
機密データにアクセスするため、限られた数のアプリケーションを制御する必要がある場合や、ビジネス目的で承認されたアプリのみを許可する必要がある場合があります。 厳密な制御を必要とする特定のビジネス グループや、独立したアプリケーションの使用を促進するビジネス グループが存在する場合があります。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| すべてのアプリを制御する | AppLocker ポリシーは、ファイルの種類別にアプリケーションの許可リストを作成することで、アプリケーションを制御します。 例外も可能です。 AppLocker ポリシーは、サポートされているバージョンの Windows のいずれかを実行しているコンピューターにインストールされているアプリケーションにのみ適用できます。 |
| 特定のアプリを制御する | AppLocker ルールを作成すると、許可されているアプリの一覧が作成されます。 その一覧のすべてのアプリケーションの実行が許可されます (例外リスト上のアプリケーションを除く)。 一覧にないアプリケーションの実行はブロックされます。 AppLocker ポリシーは、サポートされているバージョンの Windows を実行しているコンピューターにインストールされているアプリにのみ適用できます。 |
| クラシック Windows アプリケーションのみ、パッケージ アプリのみ、またはその両方を制御する | AppLocker ポリシーは、許可されているアプリの一覧をファイルの種類別に作成することでアプリを制御します。 パッケージ 化されたアプリはパブリッシャー条件で分類されるため、従来の Windows アプリケーションとパッケージ化されたアプリを一緒に制御できます。 クラシック Windows アプリケーションに対して現在持っているルールは残り、パッケージ化されたアプリ用の新しいルールを作成できます。 従来の Windows アプリケーションとパッケージ 化されたアプリの比較については、この記事の 「従来の Windows アプリケーションとパッケージ 化されたアプリを AppLocker ポリシーの設計上の決定に比較 する」を参照してください。 |
| ビジネス グループとユーザーによるアプリの制御 | AppLocker ポリシーは、組織単位 (OU) 内のコンピューター オブジェクトにグループ ポリシー オブジェクト (GPO) を介して適用できます。 個々の AppLocker ルールは、個々のユーザーまたはユーザーのグループに適用できます。 |
| ユーザーではなくコンピューターでアプリを制御する | AppLocker は、コンピューター ベースのポリシー実装です。 ドメインまたはサイトの組織構造が OU などの論理ユーザー構造に基づいていない場合は、AppLocker の計画を開始する前にその構造を設定することをお勧めします。 それ以外の場合は、ユーザー、コンピューター、アプリのアクセス要件を特定する必要があります。 |
| アプリの使用状況を理解するが、アプリを制御する必要はまだない | AppLocker ポリシーは、アプリの使用状況を監査するように設定して、organizationで使用されているアプリを追跡するのに役立ちます。 その後、AppLocker イベント ログを使用して、AppLocker ポリシーを作成できます。 |
注
AppLocker ルールでは、アプリまたはバイナリの起動を許可またはブロックします。 AppLocker は、起動後のアプリの動作を制御しません。 詳細については、「 AppLocker のセキュリティに関する考慮事項」を参照してください。
従来の Windows アプリケーションとパッケージ 化されたアプリを AppLocker ポリシーの設計上の決定と比較する
パッケージ アプリの AppLocker ポリシーは、Microsoft Store アプリをサポートする Windows オペレーティング システムを実行しているコンピューターにインストールされているアプリにのみ適用できます。 ただし、従来の Windows アプリケーションは、パッケージ 化されたアプリをサポートするコンピューターに加えて、Windows Server 2008 R2 と Windows 7 で制御できます。 従来の Windows アプリケーションとパッケージ 化されたアプリの規則は、まとめて適用できます。 パッケージ 化されたアプリで考慮する必要がある違いは次のとおりです。
- 標準ユーザーはパッケージ アプリをインストールできますが、多くの従来の Windows アプリケーションでは、インストールに管理資格情報が必要です。 そのため、ほとんどのユーザーが標準ユーザーである環境では、多数の exe ルールは必要ない場合がありますが、パッケージ化されたアプリに対してより明示的なポリシーが必要になる場合があります。
- 従来の Windows アプリケーションは、管理者資格情報を使用して実行する場合にシステムの状態を変更するように記述できます。 ほとんどのパッケージ アプリは、制限されたアクセス許可で実行されるため、システムの状態を変更できません。 AppLocker ポリシーを設計するときは、許可しているアプリがシステム全体の変更を行うことができるかどうかを理解することが重要です。
- パッケージ化されたアプリはストアを通じて取得することも、Windows PowerShellコマンドレットを使用してサイドロードすることもできます。 Windows PowerShell コマンドレットを使用する場合は、パッケージ化されたアプリを取得するために特別なエンタープライズ ライセンスが必要です。 従来の Windows アプリケーションは、ソフトウェア ベンダーや小売販売など、従来の方法で取得できます。
AppLocker は、さまざまなルール コレクションを使用して、パッケージ化されたアプリとクラシック Windows アプリケーションを制御します。 パッケージ 化されたアプリ、クラシック Windows アプリケーション、またはその両方を制御できます。
詳細については、「 AppLocker のパッケージ化されたアプリとパッケージアプリインストーラールール」を参照してください。
AppLocker を使用したスクリプトの制御
AppLocker スクリプトの適用には、PowerShell などの対応するスクリプト ホストと AppLocker の間のハンドシェイクが含まれます。 ただし、スクリプト ホストは実際の強制動作を処理します。 ほとんどのスクリプト ホストは、まず、現在アクティブな AppLocker ポリシーに基づいてスクリプトの実行を許可するかどうかを AppLocker に要求します。 その後、スクリプト ホストは、ユーザーとデバイスを最適に保護するために、スクリプトの実行 方法 をブロック、許可、または変更します。
AppLocker では、すべてのスクリプト適用イベントに AppLocker - MSI イベント ログと スクリプト イベント ログが使用されます。 スクリプトを許可するかどうかをスクリプト ホストが AppLocker に要求するたびに、AppLocker がスクリプト ホストに返された応答でイベントがログに記録されます。
注
ポリシーで許可されていないスクリプトが実行されると、AppLocker はスクリプトが "ブロック" されたことを示すイベントを発生させます。ただし、実際のスクリプトの適用動作はスクリプト ホストによって処理され、ファイルの実行が実際に完全にブロックされない場合があります。
AppLocker スクリプトの適用では、VBScript、JScript、.bat ファイル、.cmd ファイル、Windows PowerShell スクリプトのみを制御できます。 Perl スクリプトやマクロなど、ホスト プロセス内で実行されるすべての解釈されたコードは制御されません。 解釈されたコードは、ホスト プロセス内で実行される実行可能コードの形式です。 たとえば、Windows バッチ ファイル (*.bat) は、Windows コマンド ホスト (cmd.exe) のコンテキスト内で実行されます。 AppLocker を使用して解釈されたコードを制御するには、ホスト プロセスが解釈されたコードを実行する前に AppLocker を呼び出し、AppLocker からの決定を強制する必要があります。 すべてのホスト プロセスが AppLocker を呼び出すわけではありません。 そのため、AppLocker では、Microsoft Office マクロなど、あらゆる種類の解釈されたコードを制御することはできません。
重要
これらのホスト プロセスの実行を許可する必要がある場合は、これらのホスト プロセスの適切なセキュリティ設定を構成する必要があります。 たとえば、署名済みマクロと信頼済みマクロのみが読み込まれるように、Microsoft Office のセキュリティ設定を構成します。
現在、organizationでアプリの使用状況を制御するにはどうすればよいですか?
ほとんどの組織は、時間の経過と共にアプリ制御ポリシーと方法を進化させます。 AppLocker は、適切に管理されたアプリケーションの展開と承認プロセスを持つ組織に最適です。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| セキュリティ ポリシー (ローカルで設定またはグループ ポリシーを使用) | AppLocker を使用するには、正しいポリシーを作成する計画の労力が増える必要がありますが、このポリシーを作成すると、配布方法が簡単になります。 |
| Microsoft 以外のアプリ制御ソフトウェア | AppLocker を使用するには、完全なアプリ制御ポリシーの評価と実装が必要です。 |
| グループまたは OU 別の管理された使用状況 | AppLocker を使用するには、完全なアプリ制御ポリシーの評価と実装が必要です。 |
| 承認マネージャーまたはその他のロールベースのアクセス テクノロジ | AppLocker を使用するには、完全なアプリ制御ポリシーの評価と実装が必要です。 |
| Other | AppLocker を使用するには、完全なアプリ制御ポリシーの評価と実装が必要です。 |
カスタマイズされたアプリケーション制御ポリシーを必要とする特定のグループがorganizationにありますか?
ほとんどのビジネス グループまたは部門には、データ アクセスに関連する特定のセキュリティ要件と、そのデータへのアクセスに使用されるアプリケーションがあります。 organization全体のアプリケーション制御ポリシーをデプロイする前に、各グループのプロジェクトのスコープとグループの優先順位を考慮する必要があります。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| はい | グループごとに、アプリケーション制御の要件を含むリストを作成する必要があります。 この考慮事項により計画時間が長くなる可能性がありますが、多くの場合、デプロイの効率が向上します。 GPO 構造が組織グループと一致しない場合は、AppLocker 規則を特定のユーザー グループに適用できます。 |
| なし | AppLocker ポリシーは、インストールされているアプリケーションにグローバルに適用できます。 制御する必要があるアプリの数によっては、すべてのルールと例外を管理するのが困難な場合があります。 |
IT 部門には、アプリケーションの使用状況を分析し、ポリシーを設計および管理するためのリソースがありますか?
調査と分析を実行するために使用できる時間とリソースは、ポリシーの管理とメンテナンスを継続するための計画とプロセスの詳細に影響する可能性があります。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| はい | organizationのアプリケーション制御要件を分析し、可能な限り構築されたルールを使用する完全なデプロイを計画する時間を費やします。 |
| なし | いくつかのルールを使用して、特定のグループに焦点を当てた段階的なデプロイを検討してください。 特定のグループ内のアプリケーションにコントロールを適用するときは、そのデプロイから学習して、次のデプロイを計画します。 |
organizationはヘルプ デスクをサポートしていますか?
ユーザーがアプリケーションにアクセスできないようにすると、少なくとも最初はエンド ユーザーのサポートが増加します。 セキュリティ ポリシーに従い、ビジネス ワークフローが妨げられないように、organizationのさまざまなサポートの問題に対処する必要があります。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| ○ | ユーザーがアプリケーションの使用をブロックされたり、特定のアプリケーションを使用するための例外が求められる可能性があるため、計画フェーズの早い段階でサポート部門に関与します。 |
| なし | デプロイ前に、オンライン サポート プロセスとドキュメントの開発に時間を費やします。 |
制限付きポリシーが必要なアプリケーションを知っていますか?
アプリケーション制御ポリシーの実装が成功した場合は、organizationまたはビジネス グループ内のアプリの使用状況に関する知識と理解に基づいています。 さらに、アプリケーション制御の設計は、データとそのデータにアクセスするアプリのセキュリティ要件に依存します。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| ○ | ビジネス グループのアプリケーション制御の優先順位を決定してから、アプリケーション制御ポリシーの最も簡単なスキームを設計する必要があります。 |
| なし | アプリケーションの使用状況を検出するには、監査と要件の収集プロジェクトを実行する必要があります。 AppLocker には、 監査専用 モードでポリシーを展開する手段と、イベント ログを表示するためのツールが用意されています。 |
organizationでアプリケーション (アップグレード済みまたは新規) をデプロイまたは承認するにはどうすればよいですか?
成功したアプリケーション制御ポリシーの実装は、organizationまたはビジネス グループ内のアプリケーションの使用状況に関する知識と理解に基づいています。 さらに、アプリケーション制御の設計は、データとそのデータにアクセスするアプリケーションのセキュリティ要件に依存します。 アップグレードと展開のポリシーを理解すると、アプリケーション制御ポリシーの構築を形成するのに役立ちます。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| 予期 しない | 各グループから要件を収集する必要があります。 一部のグループでは無制限のアクセスまたはインストールが必要な場合もあれば、厳密な制御が必要なグループもあります。 |
| 厳格な書面によるポリシーまたはガイドラインに従う | これらのポリシーを反映する AppLocker ルールを開発し、その規則をテストして管理する必要があります。 |
| プロセスが存在しない | アプリケーション制御ポリシーを開発するためのリソースがあるかどうか、およびどのグループに対してかを判断する必要があります。 |
アプリケーション制御ポリシーを実装するときのorganizationの優先順位は何ですか?
一部の組織は、生産性や準拠性の向上によって示されるようにアプリケーション制御ポリシーの恩恵を受ける一方で、職務の遂行に支障をきたす組織もあります。 AppLocker の有効性を評価できるように、グループごとにこれらの側面に優先順位を付けます。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| 生産性: organizationは、ツールが動作し、必要なアプリケーションをインストールできることを保証します。 | イノベーションと生産性の目標を達成するために、一部のグループでは、開発したソフトウェアを含め、さまざまなソースからさまざまなソフトウェアをインストールして実行する機能が必要です。 したがって、イノベーションと生産性の優先順位が高い場合は、許可されたリストを使用してアプリケーション制御ポリシーを管理することが時間がかかり、進歩の妨げになる可能性があります。 |
| 管理: organizationは、それがサポートするアプリケーションを認識し、制御します。 | 一部のビジネス グループでは、制御の中心点からアプリケーションの使用状況を管理できます。 AppLocker ポリシーは、その目的のために GPO に組み込むことができます。 |
| セキュリティ: organizationは、承認されたアプリのみが使用されるようにすることで、データを部分的に保護する必要があります。 | AppLocker は、データにアクセスするアプリに定義済みのユーザー セットを許可することで、データを保護するのに役立ちます。 セキュリティが最優先事項の場合は、アプリケーション制御ポリシーの制限が厳しい場合があります。 |
現在、アプリはorganizationでどのようにアクセスされていますか?
AppLocker は、アプリケーション制御ポリシーの目標を簡単に使用して、適切に管理されたアプリケーション管理を行う組織に有効です。 たとえば、AppLocker は、学校やライブラリなど、組織のネットワークに接続されているコンピューターに nonemployees がアクセスできる環境にメリットがあります。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| ユーザーは管理者権限なしで実行されます。 | アプリは、インストール展開テクノロジを使用してインストールされます。 |
| AppLocker は、通常、人事や財務部門などの有限のアプリ セットを使用するビジネス グループの総所有コストを削減するのに役立ちます。 同時に、これらの部門は機密性の高い情報にアクセスします。その多くは機密情報と独自の情報を含みます。 AppLocker を使用して、実行が許可されている特定のアプリのルールを作成することで、承認されていないアプリケーションがこの情報にアクセスできないようにすることができます。 メモ: AppLocker は、ユーザーが管理者として実行される組織で標準化されたデスクトップを作成するのにも効果的です。 ただし、管理者資格情報を持つユーザーは、ローカル AppLocker ポリシーに新しい規則を追加できることに注意してください。 |
ユーザーは、必要に応じてアプリケーションをインストールできる必要があります。 |
| ユーザーは現在管理者アクセス権を持っており、この特権を変更することは困難です。 | AppLocker 規則の適用は、必要に応じて、IT 部門の承認なしにアプリをインストールできる必要があるビジネス グループには適していません。 organizationの 1 つ以上の OU にこの要件がある場合は、AppLocker を使用してそれらの OU にアプリケーション 規則を適用しないか、AppLocker を使用して監査のみの適用設定を実装することを選択できます。 |
Active Directory Domain Servicesの構造はorganizationの階層に基づいていますか?
Active Directory Domain Services (AD DS) に既に組み込まれている組織構造に基づいてアプリケーション制御ポリシーを設計することは、既存の構造を組織構造に変換するよりも簡単です。 アプリケーション制御ポリシーの有効性はポリシーを更新する機能に依存するため、デプロイを開始する前に実行する必要がある組織の作業を検討してください。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| ○ | AppLocker ルールは、AD DS の構造に基づいて、グループ ポリシーを使用して開発および実装できます。 |
| なし | IT 部門は、アプリケーション制御ポリシーを適切なユーザーまたはコンピューターに適用する方法を識別するスキームを作成する必要があります。 |
結果を記録する
このプロセスの次の手順は、前の質問に対する回答を記録して分析することです。 AppLocker が目標に適したソリューションである場合は、アプリケーション制御ポリシーの目標を設定し、AppLocker ルールを計画できます。 このプロセスは、計画伝票の作成に最も時間を置きます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示