ソフトウェア制限ポリシーを管理します。
適用対象: Windows 8.1,Windows Server 2012 R2,Windows Server 2012,Windows 8
IT プロフェッショナル向けのこのトピックは、手順では、Windows Server 2008 および Windows Vista 以降のソフトウェア制限ポリシー (SRP) を使用して、アプリケーション制御ポリシーを管理する方法を説明します。
はじめに
ソフトウェアの制限のポリシー (SRP) はグループ ポリシー ベースの機能で、ドメイン内のコンピューターで実行されているソフトウェア プログラムを識別し、これらのプログラムを実行する機能を制御します。 ソフトウェアの制限のポリシーを使えば、コンピューターの構成に厳格な制限を加え、指定したアプリケーションに限って実行を許可することができます。 これらは、Microsoft Active Directory ドメイン サービスとグループ ポリシーと統合されますが、スタンドアロン コンピューター上で構成することもあります。 SRP の詳細については、次を参照してください。、ソフトウェアの制限のポリシーの概要です。
以降でWindows Server 2008 R2とWindows 7、Windows AppLocker の代わりに、または SRP と連携してアプリケーション制御戦略の一部を使用します。 AppLocker についてはWindows Server 2012とWindows 8を参照してください、AppLocker の概要 [Client]です。
このトピックが含まれています。
ソフトウェアの制限のポリシーを開くには
新しいソフトウェアの制限のポリシーを作成するには
指定されたファイルの種類を追加、削除します。
ソフトウェアの制限のポリシーがローカルの管理者に適用するを防ぐために
ソフトウェアの制限のポリシーの既定のセキュリティ レベルを変更するには
Dll にソフトウェアの制限のポリシーを適用するには
SRP を使用して特定のタスクを実行する方法については、次を参照してください。
ソフトウェアの制限のポリシーを開くには
ローカル コンピューターの場合
ドメイン、サイト、または組織単位とするがメンバー サーバーまたはドメインに参加しているワークステーションで
ドメインまたは組織単位、しているドメイン コント ローラー上またはリモート サーバー管理ツールがインストールされているワークステーション
サイトを使用しているドメイン コント ローラー上またはリモート サーバー管理ツールがインストールされているワークステーションでの
ローカル コンピューターの場合
[ローカル セキュリティ設定] を開きます。
コンソール ツリーで、次のようにクリックします。ソフトウェア制限ポリシーです。
場所:
- セキュリティの設定/ソフトウェアの制限のポリシー
注意
この手順を実行するには、ローカル コンピューターの Administrators グループのメンバーであるか、または適切な権限が委任されている必要があります。
ドメイン、サイト、または組織単位とするがメンバー サーバーまたはドメインに参加しているワークステーションで
Microsoft 管理コンソール (MMC) を開きます。
ファイル] メニューの [をクリックしてスナップインの追加と削除、順にクリック追加です。
[ローカル グループ ポリシー オブジェクト エディター] をクリックし、[追加] をクリックします。
[グループ ポリシー オブジェクトの選択] で、[参照] をクリックします。
グループ ポリシー オブジェクトの参照適切なドメイン、サイト、または組織単位、グループ ポリシー オブジェクト (GPO) を選択してまたは新規作成] をクリックし、完了です。
[閉じる] をクリックしてから [OK] をクリックします。
コンソール ツリーで、次のようにクリックします。ソフトウェア制限ポリシーです。
場所:
グループ ポリシー オブジェクト[ComputerName] ポリシー/コンピューターの構成または
ユーザーの構成/windows の設定/セキュリティの設定/ソフトウェア制限ポリシー
注意
この手順を実行するには、Domain Admins グループのメンバーがあります。
ドメインまたは組織単位、しているドメイン コント ローラー上またはリモート サーバー管理ツールがインストールされているワークステーション
グループ ポリシー管理コンソールを開きます。
コンソール ツリーで、グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーを開きたいを右クリックします。
[編集] をクリックして、編集する GPO を開きます。 このほか、[新規作成] をクリックして新しい GPO を作成し、[編集] をクリックする方法があります。
コンソール ツリーで、次のようにクリックします。ソフトウェア制限ポリシーです。
場所:
グループ ポリシー オブジェクト[ComputerName] ポリシー/コンピューターの構成または
ユーザーの構成/windows の設定/セキュリティの設定/ソフトウェア制限ポリシー
注意
この手順を実行するには、Domain Admins グループのメンバーがあります。
サイトを使用しているドメイン コント ローラー上またはリモート サーバー管理ツールがインストールされているワークステーションでの
グループ ポリシー管理コンソールを開きます。
コンソール ツリーで、グループ ポリシーを設定するサイトを右クリックします。
場所:
- Active Directory サイトとサービス [<]/サイト/サイト
内のエントリをクリックしてグループ ポリシー オブジェクト リンクを既存グループ ポリシー オブジェクト (GPO) を選択し、クリックして編集です。 このほか、[新規作成] をクリックして新しい GPO を作成し、[編集] をクリックする方法があります。
コンソール ツリーで、次のようにクリックします。ソフトウェア制限ポリシーです。
[場所]
グループ ポリシー オブジェクト[ComputerName] ポリシー/コンピューターの構成または
ユーザーの構成/windows の設定/セキュリティの設定/ソフトウェア制限ポリシー
注意
-
この手順を実行するには、ローカル コンピューターの Administrators グループのメンバーであるか、または適切な権限が委任されている必要があります。 コンピューターがドメインに参加していると、Domain Admins グループのメンバーがこの手順を実行できる場合もあります。
-
どのユーザーがログオンに関係なく、コンピューターに適用されるポリシー設定を設定する] をクリックしてコンピューターの構成です。
-
どのコンピューターにログオンしているユーザーに適用されるポリシー設定を設定する] をクリックしてユーザーの構成です。
新しいソフトウェアの制限のポリシーを作成するには
[ソフトウェアの制限のポリシー] を開きます。
[操作] メニューの [新しいソフトウェアの制限のポリシー] をクリックします。
警告
-
この手順の実行にあたっては、環境に応じて異なる管理者資格情報が必要になります。
-
ローカル コンピューターについてソフトウェアの制限のポリシーを新規作成する場合には、この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。
-
ドメインに参加しているコンピューターについてソフトウェアの制限のポリシーを新規作成する場合には、Domain Admins グループのメンバーのみこの手順を実行できます。
-
-
グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーが作成済みである場合には、[操作] メニューに [新しいソフトウェアの制限のポリシー] コマンドが表示されません。 GPO に適用されているソフトウェアの制限のポリシーを削除するには、[ソフトウェアの制限のポリシー] を右クリックし、[ソフトウェアの制限のポリシーを削除する] をクリックします。 GPO のソフトウェアの制限のポリシーを削除するとは、その GPO のすべてのソフトウェアの制限のポリシー規則も削除します。 ソフトウェアの制限のポリシーを削除した後には、その GPO についてソフトウェアの制限のポリシーを新規作成できます。
指定されたファイルの種類を追加、削除します。
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[指定されたファイルの種類] をダブルクリックします。
次のいずれかの操作を行います。
ファイルの種類を追加するには、[ファイル名拡張子] でファイル名拡張子を入力し、[追加] をクリックします。
ファイルの種類を削除するには、[指定されたファイルの種類] でファイルの種類をクリックしてから、[削除] をクリックします。
注意
-
この手順の実行にあたっては、指定したファイルの種類を追加または削除する環境に応じて異なる管理者資格情報が必要になります。
-
ローカル コンピューターについて指定したファイルの種類を追加または削除する場合には、この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。
-
ドメインに参加しているコンピューターについてソフトウェアの制限のポリシーを新規作成する場合には、Domain Admins グループのメンバーのみこの手順を実行できます。
-
-
グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
-
指定されたファイルの種類の一覧は、GPO のすべてのルールによって、コンピューターの構成とユーザーの構成の両方の共有されます。
ソフトウェアの制限のポリシーがローカルの管理者に適用するを防ぐために
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[実施] をダブルクリックします。
[ソフトウェアの制限のポリシーの適用ユーザー] で、[ローカル管理者を除くすべてのユーザー] をクリックします。
警告
-
この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。
-
グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
-
ユーザーが組織内にあるコンピューターのローカル Administrators グループのメンバーになることが普通である場合には、このオプションを有効にしないこともあります。
-
ローカル コンピューターに対してソフトウェアの制限のポリシーの設定を定義するときには、この手順を実行するとローカル管理者にソフトウェアの制限のポリシーが適用されなくなります。 ネットワークのソフトウェアの制限のポリシー設定を定義する場合は、グループ ポリシーを使用してセキュリティ グループのメンバーシップに基づいてユーザーのポリシー設定をフィルター処理します。
ソフトウェアの制限のポリシーの既定のセキュリティ レベルを変更するには
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[セキュリティ レベル] をダブルクリックします。
既定に設定するセキュリティ レベルを右クリックし、[既定に設定] をクリックします。
注意
一部のディレクトリでは既定のセキュリティ レベルを [許可しない] に設定すると、オペレーティング システムに悪影響を及ぼす可能性があります。
注意
-
この手順の実行にあたっては、ソフトウェアの制限のポリシーの既定のセキュリティ レベルを変更する環境に応じて異なる管理者資格情報が必要になります。
-
このグループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
-
現在既定値に設定されているセキュリティ レベルは、詳細ウィンドウで黒丸の中にチェック マークを付けて表示されます。 現在既定値に設定されているセキュリティ レベルを右クリックした場合には、メニューに [既定に設定] コマンドは表示されません。
-
既定のセキュリティ レベルの例外を指定するのには、ソフトウェアの制限のポリシーの規則が作成されます。 既定のセキュリティ レベルが [制限なし] に設定されている場合には、規則では実行を許可しないソフトウェアを指定できます。 既定のセキュリティ レベルが [許可しない] に設定されている場合には、規則では実行を許可するソフトウェアを指定できます。
-
インストール時には、システム上の全ファイルについてソフトウェアの制限のポリシーの既定のセキュリティ レベルが [制限なし] に設定されています。
Dll にソフトウェアの制限のポリシーを適用するには
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[実施] をダブルクリックします。
[ソフトウェアの制限のポリシーの適用ユーザー] で、[ソフトウェアのファイルすべて] をクリックします。
注意
-
この手順を実行するには、ローカル コンピューターの Administrators グループのメンバーであるか、または適切な権限が委任されている必要があります。 コンピューターがドメインに参加していると、Domain Admins グループのメンバーがこの手順を実行できる場合もあります。
-
既定では、ソフトウェアの制限のポリシーによってダイナミック リンク ライブラリ (DLL) がチェックされることはありません。 DLL をチェックする設定にしていると、DLL が読み込まれるたびにソフトウェアの制限のポリシーの評価が必要になるため、システムのパフォーマンスが低下するおそれがあります。 ただし、DLL を標的とするウイルスを受信することが心配であれば、DLL のチェックを有効にすることが考えられます。 既定のセキュリティ レベルが設定されている場合許可しない、DLL のチェックを実行するには、各 DLL を許可するポリシー規則にソフトウェアの制限を作成する必要がありますが有効にするとします。