AppLocker ポリシーの管理

ここでは、AppLocker ポリシー内で規則を管理する方法について説明します。

一般的な AppLocker 管理シナリオには、次のようなものがあります。

• アプリの新しいバージョンが展開され、AppLocker ポリシーを更新するか、ポリシーを更新する新しい規則を作成する必要がある。

• アプリが組織内でサポートされなくなったため、使用されないようにする必要がある。

• アプリがブロックされているようだが、許可する必要がある。

• アプリが許可されているようだが、ブロックする必要がある。

• 単一のユーザーまたは少数のサブセットとなるユーザーは、ブロックされている特定のアプリを使用する必要がある。

AppLocker ポリシーを管理するには、2 つの方法があります。

• グループ ポリシーを使用した AppLocker ポリシーの管理

• ローカル コンピューター上での AppLocker ポリシーの管理

新しいアプリが展開されたか、既存のアプリが組織によって削除されたか、またはソフトウェア発行元によって更新された場合、規則に修正を加えてグループ ポリシー オブジェクト (GPO) を更新し、ポリシーを確実に最新状態にする必要があります。

規則を追加、変更、または削除することにより、AppLocker ポリシーを編集できます。ただし、追加の規則をインポートすることにより AppLocker ポリシーの新しいバージョンを指定することはできません。AppLocker ポリシーを変更する場合にバージョン管理を確実にするには、GPO のバージョンを作成することができるグループ ポリシー管理ソフトウェアを使用します。

注意  

グループ ポリシーでの実施中には AppLocker 規則のコレクションを編集しないでください。AppLocker はどのファイルを実行できるかを制御するため、ライブ ポリシーを変更すると予期しない動作が生じる可能性があります。

グループ ポリシーを使用した AppLocker ポリシーの管理

各シナリオについて、グループ ポリシーで配布される AppLocker ポリシーを管理する手順には以下のタスクが含まれます。

手順 1: ポリシーの現在の動作を理解する

ポリシーを変更する前に、ポリシーの現在の実装方法を評価します。たとえば、新しいバージョンのアプリケーションを展開する場合は、Test-AppLockerPolicy を使用してそのアプリの現在のポリシーの有効性を確認できます。

手順 2: GPO から AppLocker ポリシーをエクスポートする

運用環境で現在実施されている AppLocker ポリシーを更新すると、予期しない結果になる可能性があります。したがって、ポリシーを GPO からエクスポートし、AppLocker 参照またはテスト コンピューターで AppLocker を使用して 1 つまたは複数の規則を更新します。ポリシーの変更を準備するには、「GPO からの AppLocker ポリシーのエクスポート」をご覧ください。

手順 3: 適切な AppLocker 規則の編集によって AppLocker ポリシーを更新する

GPO から AppLocker ポリシーを AppLocker 参照またはテスト コンピューターにエクスポートした後、またはローカル コンピューターで AppLocker ポリシーにアクセスした後、必要に応じて特定の規則を修正できます。

AppLocker 規則を修正するには、次をご覧ください。

• AppLocker 規則の編集

• 「Set-ApplockerPolicy を使用した AppLocker ポリシーのマージ」または「手動での AppLocker ポリシーのマージ」

• AppLocker 規則の削除

• AppLocker 規則の実施

手順 4: AppLocker ポリシーをテストする

各規則のコレクションをテストして、意図したとおりに動作することを確認する必要があります。(AppLocker の規則はリンクされた GPO から継承されるため、すべてのテスト GPO 内で同時にテストするには、すべての規則を展開する必要があります。)このテストを実行する手順については、「AppLocker ポリシーのテストと更新」をご覧ください。

手順 5: AppLocker ポリシーを GPO にインポートする

テスト後、GPO に AppLocker ポリシーをインポートして実装します。修正された AppLocker ポリシーを持つ GPO を更新するには、「AppLocker ポリシーを GPO にインポートする」をご覧ください。

手順 6: 結果のポリシー動作を監視する

ポリシーを展開した後は、ポリシーの効果を評価します。

ローカル セキュリティ ポリシー スナップインを使用した AppLocker ポリシーの管理

すべてのシナリオで、ローカル グループ ポリシー エディターまたはローカル セキュリティ ポリシー スナップインを使用して AppLocker ポリシーを管理する手順には、次のタスクが含まれます。

手順 1: ポリシーの現在の動作を理解する

ポリシーを変更する前に、ポリシーの現在の実装方法を評価します。

手順 2: 適切な AppLocker 規則の変更によって AppLocker ポリシーを更新する

規則は、コレクションにグループ化され、このコレクションにはポリシーの実施設定を適用できます。既定の AppLocker 規則では、ユーザーは許可されていないファイルを開いたり、実行したりすることはできません。

AppLocker の規則を変更するには、「AppLocker の管理」に記載されている該当するトピックをご覧ください。

手順 3: AppLocker ポリシーをテストする

各規則のコレクションをテストして、意図したとおりに動作することを確認する必要があります。このテストを実行する手順については、「AppLocker ポリシーのテストと更新」をご覧ください。

手順 4: 変更した規則を使用してポリシーを展開する

AppLocker ポリシーをエクスポートし、Windows 8 以降を実行している他のコンピューターにインポートしてポリシーを展開できます。このタスクを実行するには、「AppLocker ポリシーを XML ファイルにエクスポートする」および「別のコンピューターから AppLocker ポリシーをインポートする」をご覧ください。

手順 5: 結果のポリシー動作を監視する

ポリシーを展開した後は、ポリシーの効果を評価します。

その他の情報

• その他の AppLocker ポリシー タスクを実行する手順については、AppLocker の管理に関するページをご覧ください。