AppLocker ポリシーの管理を計画します。

  • [アーティクル]

 

適用対象: Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8

このトピックでは、管理、および AppLocker ポリシーを維持するためのプロセスを確立するためにする必要がある決定について説明します。

ポリシー管理

展開プロセスを開始する前に、AppLocker の規則を管理する方法を検討してください。 AppLocker を管理するためのプロセスを開発ルールにより、組織で実行するアプリケーションを許可する方法を効果的に管理する AppLocker が継続します。

アプリケーションとユーザー ポリシーをサポートします。

AppLocker を管理するためのプロセスを開発ルールにより、組織で実行するアプリケーションを許可する方法を効果的に管理する AppLocker が継続します。 考慮事項は次のとおりです。

  • ブロックされたアプリケーションのエンド ユーザー サポートの種類が提供されるでしょうか。

  • 新しいルールがポリシーに追加する方法をでしょうか。

  • 既存のルールの更新方法

  • 確認のためのイベントが転送されるでしょうか。

ヘルプ デスクのサポート

お客様の組織では、場所に確立されているヘルプ デスクのサポート部門が含まれる場合は、AppLocker ポリシーを展開するときに、次を検討します。

  • どのようなドキュメントの新しいポリシーの展開、サポート部門が必要ですか。

  • 各ビジネスで重要なプロセスは、作業の流れの両方をグループ化するタイミングは、アプリケーション制御ポリシーが適用され、サポート部門のワークロードがどのように影響でしょうか。

  • サポート部門の連絡先がいるでしょうか。

  • サポート部門で、エンドユーザーと AppLocker の規則を管理する間のアプリケーション管理の問題が解決する方法

エンド ユーザー サポート

AppLocker では、未承認のアプリケーションの実行を防止は、これが、組織は、エンド ユーザー サポートを提供する方法を慎重に計画が重要です。 考慮事項は次のとおりです。

  • ブロックされているアプリケーションを実行しようとしているユーザーのためのサポートの最初の行としてイントラネット サイトを使用しますか。

  • ポリシーに例外をサポートする方法を指定しますか。 一時的にブロックされているアプリケーションへのアクセスを許可するスクリプトを実行するユーザーを許可しますか。

イントラネット サイトを使用します。

AppLocker は、既定のメッセージを表示するように構成できますが、カスタムの URL。 この URL を使用するにはユーザーをリダイレクトする理由に関する情報を含む、サポート サイトに、ユーザーに受信したエラーとできるはどのようなアプリケーションです。 アプリケーションがブロックされたときに、メッセージのカスタムの URL が表示されない場合は、既定の URL が使用されます。

次の図では、ブロックされているアプリケーションのエラー メッセージの例を示します。 使用することができます、サポートの web リンクを設定ポリシーの設定をカスタマイズする、詳細についてはリンクします。

AppLocker blocked application error message

ブロックされているアプリケーションのエラー メッセージ

メッセージのカスタムの URL を表示する手順については、次を参照してください。カスタム URL メッセージとユーザー Try ブロックされているアプリケーションを実行する表示(https://go.microsoft.com/fwlink/?LinkId=160265)。

AppLocker イベントの管理

プロセスが実行するにはアクセス許可を要求するたびに AppLocker では、AppLocker イベント ログにイベントを作成します。 どのファイルが、そのファイルでは、要求、およびルールの AppLocker の実行を決定するために使用された GUID を開始したユーザーの属性を実行します。 しようとしています。 イベントの詳細。 AppLocker イベント ログは、次のパスにあります。アプリケーションとサービス Logs\Microsoft\Windows\AppLockerです。 AppLocker は、ログには、3 つのログが含まれています。

  1. EXE および DLLです。 実行可能ファイルと DLL の規則のコレクション (.exe、.com、.dll、.ocx) 影響を受けるすべてのファイルのイベントが含まれています。

  2. MSI and Scriptです。 Windows インストーラー、およびスクリプト規則のコレクション (.msi、.msp、.ps1、.bat、.cmd、.vbs、および .js) の影響を受けるすべてのファイルのイベントが含まれています。

  3. アプリの展開をパッケージ化またはアプリの実行をパッケージ化(.appx) の規則のコレクションをアプリのインストーラーにパックされている、パッケージ アプリに影響を受けるすべての Windows 8 アプリのイベントが含まれます。

中央の場所でこれらのイベントを収集すると、AppLocker ポリシーを管理すると、ルールの構成の問題のトラブルシューティングを行うことができます。 などのイベント コレクションのテクノロジ Windows で使用できる、特定のイベントのチャネルをサブスクライブする管理者し、Windows Server オペレーティング システムのコレクターに転送されたイベント ログに、移行元コンピューターからのイベントを集計したできます。 イベント サブスクリプションを設定する方法の詳細については、次を参照してください。を収集するコンピューターを構成し、イベントの転送(https://go.microsoft.com/fwlink/?LinkId=145012)。

ポリシーの保守

新しいアプリケーションを展開するか、または既存のアプリケーションは、ソフトウェアの発行元によって更新される、現在、ポリシーであることを確認する、規則のコレクションを修正する必要があります。

追加、変更、またはルールを削除するでは、AppLocker ポリシーを編集できます。 ただし、その他の規則をインポートすることによって、ポリシーのバージョンを指定できません。 AppLocker ポリシーを変更するときに、バージョン管理を確実に、グループ ポリシー オブジェクト (Gpo) のバージョンを作成するためのグループ ポリシー管理ソフトウェアを使用します。 この種類のソフトウェアの例は、Microsoft Desktop Optimization Pack から Advanced Group Policy Management の機能です。 Advanced Group Policy Management の詳細については、次を参照してください。高度なグループ ポリシー管理の概要(https://go.microsoft.com/fwlink/?LinkId=145013)。

注意

グループ ポリシーで適用されているときに、AppLocker の規則のコレクションを編集しないでください。 AppLocker では、どのようなファイルの実行が許可を制御するため、ライブのポリシーに変更を加えると、予期しない動作を作成できます。

サポートされているアプリケーションの新しいバージョン

組織内には、アプリケーションの新しいバージョンが展開するときに、そのアプリケーションの以前のバージョンをサポートするために続行するかどうかを判断する必要があります。 新しいバージョンを追加するには、アプリケーションに関連付けられているファイルごとに新しいルールを作成する必要がありますのみ。 発行元の条件を使用しているバージョンが指定されていない場合はし、既存のルールまたはルールを実行する、更新されたファイルを許可するための十分な考えられます。 必ず、ただし、更新されたアプリケーションのされませんが、ファイル名を変更または新しい機能をサポートするためにファイルを追加します。 コード型の場合は、既存の規則を変更する新しい規則を作成するかする必要があります。 特定のファイル バージョンなしのパブリッシャー ベースのルールを再利用するのでは引き続きを確認、ファイルのデジタル署名は、以前のバージョンと同じようにも、適切に適用するルールは発行元、製品名、およびファイル名 (この場合、ルールで構成されている) すべて一致する必要があります。

アプリケーションの更新プログラムの中に、ファイルが変更されたかどうかを判断するには、更新プログラム パッケージで提供される、発行元のリリースの詳細を確認します。 この情報を取得する、発行元の Web ページを確認することもできます。 各ファイルを検査できるバージョンを特定します。

ファイルを許可または拒否ファイル ハッシュの条件の場合は、新しいファイルのハッシュを取得する必要があります。 新しいバージョンのサポートを追加し、以前のバージョンがサポートされるため、いずれか、新しいバージョンの新しいファイル ハッシュの規則を作成または既存の規則を編集して条件の一覧に新しいファイルのハッシュを追加します。

パスの条件でファイルの場合は、何がルールで指定されているからインストール パスが変更されていないことを確認してください。 パスが変更されている場合は、アプリケーションの新しいバージョンをインストールする前に、ルールを更新する必要があります。

アプリケーションを最近展開

新しいアプリケーションをサポートするには、既存の AppLocker ポリシーに 1 つまたは複数の規則を追加する必要があります。

アプリケーションがサポートされていません

お客様の組織は、AppLocker の規則に関連付けられているがアプリケーションをサポートが不要になったことに決めましたをユーザーがアプリケーションを実行するを防ぐために最も簡単な方法はこれらのルールを削除するのにです。

アプリケーションがブロックされているが、許可する必要があります。

次の 3 つの理由から、ファイルをブロックできます。

  • 最も一般的な理由は、アプリケーションの実行を許可するルールが存在しないことです。

  • 厳格すぎるファイル用に作成された既存のルールがある可能性があります。

  • オーバーライドすることはできませんが、拒否規則は、ファイルを明示的にブロックされています。

規則のコレクションを編集する前に最初の実行、ファイルを回避はどのようなルールを確認します。 使用して、問題のトラブルシューティングを行うことができます、Test-AppLockerPolicyWindows PowerShell コマンドレットです。 AppLockerpolicy のトラブルシューティングの詳細については、次を参照してください。テストと、AppLocker ポリシーの更新(https://go.microsoft.com/fwlink/?LinkId=160269)。

次の手順

お客様の組織が、AppLocker ポリシーを管理する方法を決定した後に、結果を記録します。

  • **エンドユーザーのサポート ポリシーです。**ブロックされているアプリケーションを実行しようとしたユーザーからの呼び出しを処理するために使用していることを確認サポート担当者手順の明確なエスカレーション、管理者は、AppLocker ポリシーを更新できるように必要な場合、プロセスを文書化します。

  • **イベント処理します。**ストアはアーカイブされ、分析のため、イベントを処理するかどうかをストアをどのようにと呼ばれる中央の場所でイベントが収集されるかどうかを文書化します。

  • **ポリシーの保守します。**ポリシーにルールを追加する方法について詳しく説明し、ルールの定義では、GPO します。

情報および手順を参照してください、プロセスを文書化する方法アプリケーション制御の管理プロセスを文書化します。です。