種類を作成するためのルールを選択します。
適用対象: Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8
このトピックでは、AppLocker を使用して、アプリケーション制御ポリシーのルールを選択するときに使用できるリソースが一覧表示します。
それぞれのグループを作成するためのルールの種類を判断するときも、各グループを使用するには、どのような強制設定を決定する必要があります。 別の規則の種類は、特定のビジネス グループ、アプリケーションを配置する方法に応じて、一部のアプリケーションの方が適しています。
詳細については、アプリケーションを使用するには、どのようなルールを判断するのに役立つ、AppLocker の規則は、以下のトピックです。
AppLocker 規則条件の種類についてAppLocker の規則の条件の種類を理解します。
規則のコレクションを選択します。
作成するルールは、次の規則のコレクションのいずれかになります。
実行可能ファイル: .exe、.com
Windows インストーラー ファイル: .msi、.msp の場合、および .mst
スクリプト: .ps1、.bat、.cmd、.vbs、.js
パッケージ アプリおよびパッケージ アプリのインストーラー: .appx
Dll: .dll、.ocx
注意
.appx と .mst ファイルの種類には適用されません AppLocker の Windows Server 2008 R2 および Windows 7 で実行されています。
既定では、ルールは、ファイルを実行するユーザーまたはグループ特権に基づいてを許可します。 DLL の規則を使用する場合は、規則がすべての許可されているアプリケーションで使用されている各 DLL を作成するには、DLL が使用します。 DLL の規則のコレクションは、既定では有効になっていません。
Woodgrove Bank の例で、銀行窓口ビジネス グループの基幹業務アプリケーションが C:\Program Files\Woodgrove\Teller.exe にあり、このアプリケーションは、ルールに含まれる必要があります。 さらに、このルールは、許可するアプリケーションの一覧の一部であるため C:\Windows の下では、Windows のファイルをすべて含める必要がありますもします。
ルールの条件を決定します。
ルールの条件は、条件となる AppLocker の規則が基づいており、次の表に、ルールの条件のいずれかを指定することのみです。
ルールの条件 |
使用シナリオ |
参照情報 |
|---|---|---|
発行元 |
発行元の条件を使用するファイルのデジタル署名では、ソフトウェアの発行元または内部の証明書を使用して、これを行う必要があります。 バージョン レベルに指定されている規則は、ファイルの新しいバージョンがリリースされたときに更新する必要があります。 |
この規則の条件の詳細については、次を参照してください。AppLocker での発行元規則条件の概要です。 |
パス |
すべてのファイルにこの規則の条件を割り当てることができます。ただし、パスの規則では、ファイル システム内の場所を指定するため任意のサブディレクトリも影響を受けるルールによって (ない場合については、この明示的に除外して)。 |
この規則の条件の詳細については、次を参照してください。AppLocker でのパス規則条件の概要です。 |
ファイル ハッシュ |
すべてのファイルにこの規則の条件を割り当てることができます。ただし、ルールの更新は、ハッシュ値を部分的にバージョンに基づいているため、ファイルの新しいバージョンがリリースされるたびにする必要があります。 |
この規則の条件の詳細については、次を参照してください。AppLocker でのファイル ハッシュ規則条件の概要です。 |
Woodgrove Bank の例では、銀行窓口のビジネス グループの基幹業務アプリケーションは署名され、C:\Program Files\Woodgrove\Teller.exe にあります。 そのため、ルールは、発行元の条件を定義できます。 ルールは、特定のバージョン以降に定義されている場合 (Teller.exe バージョン 8.0 など、およびそれ以上)、これにより、名前と署名済みの場合、ユーザーへのアクセスの中断のままの属性なしに発生するには、このアプリケーションの更新と同じです。
実行するシステム ファイルを許可する方法を決定します。
AppLocker の規則では、許可するアプリケーションの一覧を作成、ためには、すべての Windows ファイルを実行するようにするのにで、ルールまたはルールを作成する必要があります。 AppLocker では、システム ファイルのことを確認するための手段が、規則のコレクションに各規則のコレクションの既定のルールを生成することによって適切と見なさを提供します。 既定の規則は、独自のルールを作成するときにテンプレートとして使用できます。 ただし、これらの規則はだけを目的と Windows フォルダー内のシステム ファイルは実行を許可するように、AppLocker の規則を最初にテストしているときに、スターター ポリシーとして機能します。 既定のルールが作成されると、ことで示されます「(既定の規則)」で、名前の規則のコレクションに表示されます。
パスの条件に基づくシステム ファイル用の規則を作成することもできます。 銀行窓口グループの前の例では、Windows のすべてのファイルは、C:\Windows [内に存在し、パスの規則の条件の種類を定義することができます。 更新を適用し、ファイルが変更されるたびには、これらのファイルへのアクセスが許可されます。 その他のアプリケーションのセキュリティを必要とする場合は、組み込みの既定の規則のコレクションから作成された規則を変更する必要があります。 たとえば、すべてのユーザーが Windows フォルダーで .exe ファイルを実行できるようにする既定の規則を実行する Windows フォルダー内のすべてのファイル パスの条件に基づいています。 Windows フォルダーには、ユーザー グループに次のアクセス許可は付与 Temp サブフォルダーが含まれています。
フォルダのスキャン/ファイルの実行
ファイルの作成/データの書き込み
フォルダの作成/データの追加
これらのアクセス許可の設定は、アプリケーションの互換性のためには、このフォルダーに適用されます。 ただし、ため、すべてのユーザーは、この場所にファイルを作成することができますを組織のセキュリティ ポリシーと競合可能性がありますので、アプリケーションにこの場所から実行します。
次の手順
作成するルールの種類を選択した後で説明したように、結果を記録AppLocker の規則を文書化します。です。
AppLocker の規則を作成するために結果を記録するには後、は、ルールを適用する方法を検討する必要があります。 これを行う方法については、次を参照してください。グループ ポリシーを確認構造体し、ルールの適用です。