規則の自動生成ウィザードの実行
IT 担当者向けのこのトピックでは、ウィザードを実行して参照デバイスに対して AppLocker 規則を作成する手順について説明します。
AppLocker を使うと、フォルダー内のすべてのファイルに対して規則を自動的に生成できます。指定したフォルダーがスキャンされ、選んだ種類の条件がそのフォルダー内のファイルごとに作成されます。
このタスクを実行するには、グループ ポリシー オブジェクト (GPO) の AppLocker ポリシーに対してグループ ポリシー管理コンソールを使うか、ローカル コンピューター上またはセキュリティ テンプレート内の AppLocker ポリシーに対してローカル セキュリティ ポリシー スナップインを使います。これらの MMC スナップインを使って AppLocker を管理する方法については、「AppLocker の管理」をご覧ください。
規則を自動生成するには
AppLocker コンソールを開きます。
規則を自動生成する対象となる規則の種類を右クリックします。実行可能ファイル、Windows インストーラー、スクリプト、パッケージ アプリの規則を自動生成できます。
[規則の自動生成] をクリックします。
[フォルダーとアクセス許可] ページで、[参照] をクリックして、分析するフォルダーを選びます。既定では、これは Program Files フォルダーです。
[選択] をクリックして、既定の規則が適用されるセキュリティ グループを選びます。既定では、これは Everyone グループです。
このウィザードでは、選んだフォルダーの名前に基づいて、[この規則のセットを特定する名前] ボックスに名前が設定されます。設定された名前をそのまま使うか、別の名前を入力したら、[次へ] をクリックします。
[規則の基本設定] ページで、規則の作成時にウィザードによって使われる条件を選び、[次へ] をクリックします。規則の条件について詳しくは、「AppLocker 規則条件の種類について」をご覧ください。
注
[類似するファイルをグループ化して作成される規則の数を減らす] チェック ボックスは既定でオンになっています。オンになっていると、選んだ規則の条件に対して次の操作が実行されて、AppLocker 規則が整理され、作成する規則の数を減らすことができます。
発行元の条件は、発行元と製品名が同じすべてのファイルに対して 1 つ作成されます。
パス条件は、選んだフォルダーに対して 1 つ作成されます。たとえば、C:\Program Files\ProgramName\ を選び、このフォルダー内のファイルに署名がない場合、%programfiles%\ProgramName\* に対して規則が作成されます。
ファイル ハッシュの条件は、すべてのファイル ハッシュを含むものが 1 つ作成されます。規則のグループ化が無効になっていると、ファイルごとに 1 つのファイル ハッシュの規則が作成されます。
分析されたファイルと自動生成された規則を確認します。変更を行うには、[前] をクリックして、選択内容を変更できるページに戻ります。規則を確認したら、[作成] をクリックします。
注
ウィザードを実行して GPO の規則を初めて作成する場合は、ウィザードの完了後、重要なシステムファイルの実行を許可する既定の規則を作成するように求められます。既定の規則はいつでも編集できます。組織で Windows のシステム ファイルを実行できるように、既定の規則を編集するか、カスタムの規則を作成することにした場合は、既定の規則をカスタム規則で置き換えてから、既定の規則を忘れずに削除してください。