ソフトウェアの制限のポリシーは、未知のソフトウェアや信頼されていないソフトウェアを規制するためのニーズに対応します。ビジネス コンピューティングのネットワーク、インターネット、および電子メールの使用が増大すると共に、ユーザーはさまざまな方法で新しいソフトウェアに接するようになっています。ユーザーは常に未知のソフトウェアを実行するかどうか決断する必要性に迫られています。ウイルスおよびトロイの木馬は、多くの場合、ユーザーが誤ってそれらを実行してしまうような形態をしています。ユーザーにとって、どのソフトウェアを実行すべきか安全に選択することは困難な状況にあります。

ソフトウェアの制限のポリシーを使用すると、実行を許可されたソフトウェアを識別して指定することによって、信頼されていないソフトウェアからコンピューティング環境を保護できます。グループ ポリシー オブジェクト (GPO) に対して、既定のセキュリティ レベルである [制限しない] または [許可しない] を定義することにより、ソフトウェアの実行を既定で許可または禁止できます。この既定のセキュリティ レベルに例外を設定する場合は、特定のソフトウェアに対してソフトウェアの制限のポリシー規則を作成します。たとえば、既定のセキュリティ レベルを [許可しない] に設定した場合、特定のソフトウェアの実行を許可する規則を作成できます。規則の種類には次のようなものがあります。

• ハッシュの規則
  
• 証明書の規則
  
• パスの規則 (レジストリのパスの規則を含む)
  
• インターネット ゾーンの規則
  

これらの各規則については、「セキュリティ レベルと追加規則」を参照してください。

ソフトウェアの制限のポリシーは、既定のセキュリティ レベルと、GPO に適用されるすべての規則から構成されます。ソフトウェアの制限のポリシーは、ドメイン全体、ローカル コンピュータ、または個々のユーザーに適用できます。ソフトウェアの制限のポリシーにはソフトウェアを識別するための方法が多数用意されおり、ポリシー ベースのインフラストラクチャを提供して、識別されたソフトウェアを実行できるかどうかを決定します。ソフトウェアの制限のポリシーを使用すると、ユーザーはソフトウェア プログラムを実行するときに、管理者が設定したガイドラインに従わなければならなくなります。

ソフトウェアの制限のポリシーにより、次の操作が可能です。

• システムでソフトウェアが実行できるかどうかを制御します。たとえば、電子メールを通じてウイルスを受信することが心配な場合、電子メール プログラムの電子メール添付ファイルのディレクトリ内で特定の種類のファイルの実行を許可しないポリシー設定を適用できます。
  
• マルチユーザー コンピュータで特定のファイルだけを実行することをユーザーに許可します。たとえば、コンピュータを複数のユーザーが使用している場合、ユーザーがその作業に必要な特定のファイル以外のソフトウェアにアクセスできないようにする、ソフトウェアの制限のポリシーを設定できます。
  
• 信頼された発行元をコンピュータに追加できる担当者を決定します。
  
• ソフトウェアの制限のポリシーを、ユーザー全員に適用するか、コンピュータ上の特定のユーザーにのみ適用するかを制御します。
  
• ローカル コンピュータ、組織単位、サイト、またはドメインでファイルが実行されないようにします。たとえば、システムが既知のウイルスに感染している場合、ソフトウェアの制限のポリシーを使って、コンピュータがウイルスを含むファイルを開くのを止めさせることができます。
  

重要

• ソフトウェアの制限のポリシーは、ウイルス対策ソフトウェアの代替として使用しないでください。
  

詳細については、次を参照してください。

• ソフトウェアの制限のポリシー
  
• 証明書の規則を作成する
  
• ハッシュの規則を作成する
  
• インターネット ゾーンの規則を作成する
  
• パスの規則を作成する
  
• レジストリのパスの規則を作成する