AppLocker の管理

IT 担当者向けのこのトピックでは、AppLocker ポリシーを管理するときに使用する具体的な手順へのリンクを提供します。

AppLocker を使用すると、管理者は、実行可能ファイル、パッケージ アプリ、スクリプト、Windows インストーラー ファイル、DLL などのファイルの、ユーザーによるアクセスや使用を制御できます。AppLocker を使うと、次の作業を行うことができます。

• デジタル署名から抽出されたファイル属性 (発行元、製品名、ファイル名、ファイル バージョンなど) に基づいて規則を定義する。たとえば、更新を繰り返しても永続的に維持される発行元属性に基づいて規則を作成したり、特定のファイル バージョンを対象とする規則を作成したりできます。

• セキュリティ グループまたは個々のユーザーに規則を割り当てる。

• 規則の例外を作成する。たとえば、レジストリ エディター (regedit.exe) を除くすべての Windows プロセスの実行を許可する規則を作成できます。

• 監査のみモードを使ってポリシーを展開し、実際に実施する前に影響を把握する。

• 規則をインポートおよびエクスポートする。インポートおよびエクスポートはポリシー全体に影響します。たとえば、ポリシーをエクスポートすると、すべての規則のコレクションからのすべての規則 (規則のコレクションの実施設定を含む) がエクスポートされます。ポリシーをインポートすると、既存のポリシーは上書きされます。

• AppLocker PowerShell コマンドレットを使って、AppLocker 規則の作成と管理を合理化する。

注  

Windows アプリを制御する AppLocker の拡張機能の詳細については、「AppLocker でのパッケージ アプリの規則とパッケージ アプリのインストーラーの規則」を参照してください。

このセクションの内容

MMC スナップインを使用して AppLocker を管理する

グループ ポリシー管理コンソールを使用して AppLocker ポリシーを管理したり、ローカル グループ ポリシー エディター スナップインまたはローカル セキュリティ ポリシー スナップイン (secpol.msc) を使用して、ローカル コンピューターのグループ ポリシー オブジェクト (GPO) の作成または編集や、AppLocker ポリシーの作成または編集を行えます。

グループ ポリシーを使用した Applocker の管理

GPO を編集するためには、設定の編集のアクセス許可が必要です。既定では、Domain Admins グループ、Enterprise Admins グループ、Group Policy Creator Owners グループにこのアクセス許可があります。さらに、グループ ポリシー管理機能がコンピューターにインストールされている必要があります。

1. グループ ポリシー管理コンソール (GPMC) を開きます。

2. 変更する AppLocker ポリシーを含む GPO を見つけ、その GPO を右クリックして [編集] をクリックします。

3. コンソール ツリーで、[アプリケーション制御ポリシー] をダブルクリックし、[AppLocker] をダブルクリックして、規則を作成する規則のコレクションをクリックします。

ローカル PC 上の AppLocker の管理

1. [スタート] をクリックして、「local security policy」と入力し、[ローカル セキュリティ ポリシー] をクリックします。

2. [ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。

3. スナップインのコンソール ツリーで、[アプリケーション制御ポリシー] をダブルクリックし、[AppLocker] をダブルクリックして、規則を作成する規則のコレクションをクリックします。

Windows PowerShell を使用した AppLocker の管理

Windows PowerShell を使用して AppLocker を管理する方法の詳細については、「AppLocker Windows PowerShell コマンドレットの使用」を参照してください。Windows PowerShell を使用して AppLocker を管理する方法と例の詳細については、「AppLocker コマンドレット」を参照してください。