規則に対する AppLocker の許可操作と拒否操作について

この記事では、AppLocker 規則に対する許可アクションと拒否アクションの違いについて説明します。

ルールに対するアクションの許可と拒否のアクション

各 AppLocker 規則コレクションは、ファイルの明示的な許可リストとして機能します。 実行できるのは、ルール コレクション内の 1 つ以上の許可ルールの対象となるファイルのみです。 一部のファイルの実行を明示的に拒否するルールを作成することもできます。 明示的な許可または拒否規則の対象とされていない他のすべてのファイルは 、暗黙的に 実行がブロックされます。 このブロックを既定で理解することは、ポリシーがorganization内のユーザーにどのような影響を与えるかを分析する際に、例外による許可動作が重要です。

AppLocker は、規則を適用するときに、最初に規則の一覧で明示的な拒否アクションが指定されているかどうかを確認します。 ルール コレクションでファイルの実行を拒否した場合、拒否アクションは許可アクションよりも優先され、オーバーライドできません。 次に、AppLocker は、ファイルに対する明示的な許可アクションを確認します。 AppLocker は既定で許可リストとして機能するため、ファイルの実行を明示的に許可または拒否するルールがない場合、AppLocker の既定の拒否アクションによってファイルがブロックされます。

AppLocker を使用してブロックリストを実装する

AppLocker を使用して明示的なブロックリスト ポリシーを作成することはできますが、このアプローチはほとんどの組織にとって適切なスケーリングではなく、実用的なアプリケーション制御戦略として推奨されません。 ただし、これを行う場合は、他のすべてのファイルが実行されるように、規則コレクション内に "allow *" ルールを含める必要があります。

重要

Windows システム ファイルを含むすべての必要なアプリの許可規則をルール コレクション内に含めないと、ポリシーによってコンピューター上の他のすべてのファイルの実行が 暗黙的に 拒否されるため、予期しない結果が発生します。