AppLocker ポリシーの編集

IT 担当者向けのこのトピックでは、AppLocker ポリシーの変更に必要な手順について説明します。

規則を追加、変更、または削除することにより、AppLocker ポリシーを編集できます。ただし、追加の規則をインポートすることによりポリシーの新しいバージョンを作成することはできません。運用環境にある AppLocker ポリシーを変更するには、グループ ポリシー オブジェクト (GPO) にバージョンを付けることができるグループ ポリシー管理ソフトウェアを使用する必要があります。複数の AppLocker ポリシーが作成されているときにそれらをマージして 1 つの AppLocker ポリシーを作成する必要がある場合は、手動でポリシーをマージするか、または AppLocker 用の Windows PowerShell コマンドレットを使用します。AppLocker スナップインを使用してポリシーを自動的にマージすることはできません。2 つ以上のポリシーから 1 つの規則のコレクションを作成する必要があります。AppLocker ポリシーは XML 形式で保存され、エクスポートされたポリシーは任意のテキスト エディターまたは XML エディターで編集できます。ポリシーのマージについては、「手動での AppLocker ポリシーのマージ」または「Set-ApplockerPolicy を使用した AppLocker ポリシーのマージ」をご覧ください。

AppLocker ポリシーを編集するには、2 つの方法があります。

• グループ ポリシーを使用した AppLocker ポリシーの編集

• ローカル セキュリティ ポリシー スナップインを使用した AppLocker ポリシーの編集

グループ ポリシーを使用した AppLocker ポリシーの編集

グループ ポリシーで配布される AppLocker ポリシーを編集する手順を以下に示します。

Step 1: グループ ポリシー管理ソフトウェアを使用して、AppLocker ポリシーを GPO からエクスポートする

AppLocker は、AppLocker ポリシーを XML ファイルとしてエクスポートおよびインポートする機能を提供します。これにより、運用環境の外で AppLocker ポリシーを変更することができます。展開された GPO 内で AppLocker ポリシーを更新すると予期しない結果を招くおそれがあるため、最初に AppLocker ポリシーを XML ファイルにエクスポートする必要があります。これを行う手順については、「GPO から AppLocker ポリシーをエクスポートする」をご覧ください。

手順 2: AppLocker ポリシーを AppLocker 参照 PC またはポリシー管理に使用する PC にインポートする

AppLocker ポリシーを XML ファイルにエクスポートした後で、ポリシーを編集できるように、XML ファイルを参照 PC にインポートする必要があります。AppLocker ポリシーをインポートする手順については、「別のコンピューターから AppLocker ポリシーをインポートする」をご覧ください。

注意  

ポリシーを別の PC にインポートすると、その PC 上の既存のポリシーが上書きされます。

手順 3: AppLocker を使用して規則の変更とテストを行う

AppLocker では、コレクション内の規則を変更することによって、ポリシーの規則を変更、削除、または追加する方法を提供します。

• 規則を変更する手順については、「AppLocker 規則の編集」をご覧ください。

• 規則を削除する手順については、「AppLocker 規則の削除」をご覧ください。

• 規則を作成する手順については、以下を参照してください。

  • 発行元条件を使用する規則を作成する

  • パス条件を使用する規則を作成する

  • ファイル ハッシュ条件を使用する規則を作成する

  • DLL の規則のコレクションを有効にする

• AppLocker ポリシーのテスト手順については、「AppLocker ポリシーのテストと更新」をご覧ください。

• 更新されたポリシーを参照コンピューターから GPO にエクスポートする手順については、「AppLocker ポリシーを XML ファイルにエクスポートする」および「AppLocker ポリシーを GPO にインポートする」をご覧ください。

Step 4: AppLocker およびグループ ポリシーを使用して AppLocker ポリシーを GPO にインポートする

更新されたポリシーを参照コンピューターから GPO にエクスポートする手順については、「AppLocker ポリシーを XML ファイルにエクスポートする」および「AppLocker ポリシーを GPO にインポートする」をご覧ください。

注意  

グループ ポリシーでの実施中には AppLocker 規則のコレクションを編集しないでください。AppLocker はどのファイルを実行できるかを制御するため、ライブ ポリシーを変更すると予期しない動作が生じる可能性があります。ポリシーのテストについては、「AppLocker ポリシーのテストと更新」をご覧ください。

注  

Microsoft の高度なグループ ポリシーの管理 (AGPM) を使用してこれらの手順を実行する場合は、ポリシーをエクスポートする前に GPO をチェックアウトしてください。

ローカル セキュリティ ポリシー スナップインを使用した AppLocker ポリシーの編集

ローカル セキュリティ ポリシー スナップイン (secpol.msc) を使用して配布される AppLocker ポリシーを編集する手順には、以下のタスクが含まれます。

手順 1: AppLocker ポリシーをインポートする

ポリシーを管理する PC で、ローカル セキュリティ ポリシー スナップイン (secpol.msc) から AppLocker スナップインを開きます。別の PC から AppLocker ポリシーをエクスポートした場合は、AppLocker を使用してその PC にインポートします。

AppLocker ポリシーを XML ファイルにエクスポートした後で、ポリシーを編集できるように、XML ファイルを参照 PC にインポートする必要があります。AppLocker ポリシーをインポートする手順については、「別のコンピューターから AppLocker ポリシーをインポートする」をご覧ください。

注意  

ポリシーを別の PC にインポートすると、その PC 上の既存のポリシーが上書きされます。

手順 2: 変更、削除、または追加する規則を識別して変更する

AppLocker では、コレクション内の規則を変更することによって、ポリシーの規則を変更、削除、または追加する方法を提供します。

• 規則を変更する手順については、「AppLocker 規則の編集」をご覧ください。

• 規則を削除する手順については、「AppLocker 規則の削除」をご覧ください。

• 規則を作成する手順については、以下を参照してください。

  • 発行元条件を使用する規則を作成する

  • パス条件を使用する規則を作成する

  • ファイル ハッシュ条件を使用する規則を作成する

  • DLL の規則のコレクションを有効にする

手順 3: ポリシーの効果をテストする

AppLocker ポリシーのテスト手順については、「AppLocker ポリシーのテストと更新」をご覧ください。

手順 4: ポリシーを XML ファイルにエクスポートし、すべてのターゲット コンピューターに適用する.

更新されたポリシーを参照コンピューターからターゲット コンピューターにエクスポートする手順については、「AppLocker ポリシーを XML ファイルにエクスポートする」および「別のコンピューターから AppLocker ポリシーをインポートする」をご覧ください。

その他の情報

• その他の AppLocker ポリシー タスクを実行する手順については、AppLocker の管理に関するページをご覧ください。