AppLocker 規則条件の種類について
適用対象: Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8
IT プロフェッショナル向けのこのトピックでは、3 種類の AppLocker 規則条件について説明します。
規則条件は、AppLocker 規則のベースとなる条件です。 AppLocker 規則を作成するには、プライマリ条件が必要です。 規則に関する標準の条件とは、発行元、パス、およびファイル ハッシュの 3 つです。
発行元
発行元条件を使用するには、ファイルがソフトウェアの発行元によってデジタル署名されているか、または内部の証明書を使用してこれを行う必要があります。 ファイルの新しいバージョンがリリースされたときは、バージョン レベルに対して指定されている規則の更新が必要になる場合があります。 この規則条件の詳細については、「AppLocker での発行元規則条件の概要」を参照してください、
パス
この規則条件はすべてのファイルに割り当てることができます。ただし、パス規則ではファイル システム内で場所が指定されるため、すべてのサブディレクトリも規則の影響を受けることになります (明示的に除外する場合を除いて)。 この規則条件の詳細については、「AppLocker でのパス規則条件の概要」を参照してください、
ファイル ハッシュ
この規則条件はすべてのファイルに割り当てることができます。ただし、ハッシュ値はそのファイル バージョンに対して一意であるため、ファイルの新しいバージョンがリリースされるたびに規則を更新する必要があります。 この規則条件の詳細については、「AppLocker でのファイル ハッシュ規則条件の概要」を参照してください、
考慮事項
各規則に対してどの条件を選択するのが適切かは、組織の総合的なアプリケーション制御ポリシー目標や、AppLocker 規則のメンテナンス目標、および既存の (または計画されている) アプリケーション展開の条件によって決まります。 以下に示すのは、使用する規則条件を決定する際に役立つ可能性がある質問事項です。
ファイルは、ソフトウェアの発行元によってデジタル署名されているか。
ファイルがソフトウェアの発行元によって署名されている場合は、発行元条件を使用して規則を作成することをお勧めします。 ファイル ハッシュ条件やパス条件を署名済みファイル用に作成することもできます。 ただし、ファイルがソフトウェアの発行元によってデジタル署名されていない場合は、次のことができます。
内部の証明書を使用してファイルに署名する。
ファイル ハッシュ条件を使用して規則を作成する。
パス条件を使用して規則を作成する。
注意
参照コンピューター上のアプリケーションのうち、デジタル署名されているものがどれだけあるかを確認したい場合は、ファイルのディレクトリに対して Get-AppLockerFileInformation Windows PowerShell コマンドレットを使用できます。 たとえば、 Get-AppLockerFileInformation –Directory C:\Windows\ -FileType EXE -recurse では、Windows ディレクトリ内にある、すべての .exe ファイルや .com ファイルのプロパティを表示できます。
組織として、どの種類の規則条件を優先的に使用しているか。
組織において、ユーザーが実行できるファイルを制限するためにソフトウェアの制限のポリシー (SRP) が既に使用されている場合は、ファイル ハッシュ条件やパス条件を使用した規則が既に実施されている可能性があります。
注意
サポートされているオペレーティング システムのうち、SRP や AppLocker 規則を適用できるバージョンやエディションの一覧については、「AppLocker を使用するための要件」を参照してください。