AppLocker ポリシーの作成
公開日: 2016年8月
対象: Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2012、Windows 8
この IT プロフェッショナル向け概要トピックでは、AppLocker ポリシーを作成し、展開用に準備する手順について説明します。
AppLocker による効果的なアプリケーション制御ポリシーを作成するには、最初に各アプリケーションの規則を作成します。 規則は 4 つの規則コレクションのいずれかにグループ化されます。 規則コレクションは、実施するか、または監査のみモードで実行するように構成できます。 AppLocker ポリシーでは、5 つの規則コレクション内に規則が含まれており、規則コレクションごとに実施設定が存在します。
手順 1: 計画を使用する
アプリケーション制御ポリシー計画を作成すると、展開についての決定を正しく行うことができます。 これを行うための手順と考慮事項については、「AppLocker ポリシー設計ガイドに関するページ」を参照してください。 このガイドは、セキュリティ アーキテクト、セキュリティ管理者、およびシステム管理者を対象としています。 このガイドでは、部門、組織単位、またはビジネス グループのアプリケーション制御要件に応じて、組織の AppLocker ポリシー展開計画を作成する方法について、以下のトピックに分けて説明します。
手順 2: 規則と規則コレクションを作成する
各規則は、1 つ以上のアプリケーションに適用されます。これにより、各アプリケーションに特定の規則条件が課されます。 規則は個別に作成することもできますし、規則の自動生成ウィザードで自動的に生成することもできます。 規則を作成する手順については、「AppLocker 規則の作成」を参照してください。
手順 3: 実施設定を構成する
AppLocker ポリシーは、規則の実施設定を使用して構成された規則コレクションのセットです。 実施設定は、[規則の実施]、[監査のみ]、[未構成] のいずれかです。 AppLocker ポリシーに少なくとも 1 つの規則が含まれ、ポリシーが [未構成] に設定されている場合、そのポリシーのすべての規則が実施されます。 規則実施設定の構成については、「監査のために、AppLocker ポリシーの設定のみ」および規則の適用の AppLocker ポリシーを構成します。」を参照してください。
手順 4: GPO を更新する
AppLocker ポリシーは、コンピューターにローカルに定義することもできますし、グループ ポリシーを通じて適用することもできます。 グループ ポリシーを使用して AppLocker ポリシーを適用するには、新しいグループ ポリシー オブジェクト (GPO) を作成するか、既存の GPO を更新する必要があります。 グループ ポリシー管理コンソール (GPMC) を使用して AppLocker ポリシーを作成または変更することもできますし、AppLocker ポリシーを GPO にインポートすることもできます。 このための手順については、「AppLocker ポリシーを GPO にインポートします。」を参照してください。
手順 5: ポリシーの効果をテストする
テスト環境を使用するか、または実施設定を [監査のみ] にして、ポリシーの結果が意図したとおりであることを確認します。 ポリシーのテストについては、「テストおよび AppLocker ポリシーの更新」を参照してください。
手順 6: ポリシーを実装する
展開方法に応じて、AppLocker ポリシーを運用環境の GPO にインポートするか、または (ポリシーが既に展開されている場合は)、実施設定を運用環境の値 ([規則の実施] または [監査のみ]) に変更します。
手順 7: ポリシーの効果をテストして調整する
AppLocker ログでアプリケーションの使用状態を分析して、ポリシーの効果を検証し、必要に応じてポリシーを変更します。 その方法については、「AppLocker でアプリケーションの使用状況の監視」を参照してください。
次の手順
以下のトピックで説明されている手順に従って、展開プロセスを進めます。
Testing and Updating an AppLocker Policy