規則の実施設定を使用した AppLocker ポリシーの展開

IT 担当者向けのこのトピックでは、実施設定の方法を使用して AppLocker ポリシーを展開する手順について説明します。

背景と前提条件

これらの手順では、[監査のみ] に設定されている実施設定を使用して、AppLocker ポリシーを既に展開していることを前提としています。また、AppLocker イベントなどのチャネルを利用してデータを収集し、これらのポリシーによる環境への影響を確認していること、およびポリシーがアプリケーション制御の設計に準拠していることも前提としています。

AppLocker ポリシーの実施設定については、「AppLocker の実施設定について」をご覧ください。

AppLocker ポリシーの展開を計画する方法については、「AppLocker 設計ガイド」をご覧ください。

手順 1: AppLocker ポリシーを取得する

運用環境で現在実施されている AppLocker ポリシーを更新すると、予期しない結果になる可能性があります。グループ ポリシーを使用すると、グループ ポリシー オブジェクト (GPO) からポリシーをエクスポートし、AppLocker の参照 PC やテスト PC で AppLocker を使って、規則を更新できます。これを行う手順については、「GPO から AppLocker ポリシーをエクスポートする」と「AppLocker ポリシーを GPO にインポートする」をご覧ください。ローカルの AppLocker ポリシーの場合は、AppLocker の参照 PC やテスト PC でローカル セキュリティ ポリシー スナップイン (secpol.msc) を使用して、規則を更新できます。これを実行する手順については、「AppLocker ポリシーを XML ファイルにエクスポートする」および「別のコンピューターから AppLocker ポリシーをインポートする」をご覧ください。

手順 2: 実施設定を変更する

規則の実施は、規則のコレクションにのみ適用されます。個別の規則には適用されません。AppLocker では、実行可能ファイル、Windows インストーラー ファイル、パッケージ アプリ、スクリプト、および DLL ファイルの各コレクションに規則を分けることができます。既定では、実施設定が構成されておらず、規則が規則のコレクション内にある場合、コレクション内の規則が実施されます。実施設定については、「AppLocker の実施設定について」をご覧ください。実施設定を変更する手順については、「AppLocker ポリシーを監査のみに構成する」をご覧ください。

手順 3: ポリシーを更新する

規則を追加、変更、または削除することにより、AppLocker ポリシーを編集できます。ただし、追加の規則をインポートすることによって AppLocker ポリシーのバージョンを指定することはできません。AppLocker ポリシーの変更時にバージョン管理を確実に行うためには、GPO のバージョンを作成することができるグループ ポリシー管理ソフトウェアを使用します。このようなソフトウェアの例としては、Microsoft Desktop Optimization Pack の高度なグループ ポリシーの管理機能があります。

注意  

グループ ポリシーでの実施中には AppLocker 規則のコレクションを編集しないでください。AppLocker はどのファイルを実行できるかを制御するため、ライブ ポリシーを変更すると予期しない動作が生じる可能性があります。

GPO を更新する手順については、「AppLocker ポリシーを GPO にインポートする」をご覧ください。

ローカル セキュリティ ポリシー スナップイン (secpol.msc) を使用してローカル PC のポリシーを配布する手順については、「AppLocker ポリシーを XML ファイルにエクスポートする」と「別のコンピューターから AppLocker ポリシーをインポートする」をご覧ください。

手順 4: ポリシーの効果を監視する

ポリシーを展開する場合、ポリシーの実際の実装を監視することが重要となります。これを行うには、サポート対象となる組織のアプリが行うアクセス要求のアクティビティを監視し、AppLocker イベント ログを確認します。ポリシーの効果を監視するには、「AppLocker でアプリケーションの使用状況を監視する」をご覧ください。

その他の情報

• その他の AppLocker ポリシー タスクを実行する手順については、「AppLocker の管理」をご覧ください。