家庭や職場で安全に Windows 7 を使うために

1 | 2 | 3 | 4 | 5

Active Directory 環境でプログラム制御をおこなう

これまで説明した機能は冒頭に書いたとおり、Active Directory ドメインに参加している Windows 7 では使用することができません。Web サイトのフィルタリングは別のサーバー ソフトウェアを使うとして、アプリケーションの起動制御には AppLocker (アプリケーションロッカー) を使用します。グループ ポリシー管理エディター (図 27) から設定することができます。

保護者による制限ではアプリケーションのファイル名でしか設定できませんが、AppLocker では以下の種類に基づいて起動制御をおこなうことができます。

• ファイル名/パス
• ハッシュ値
• 発行元 (デジタル署名)

古いバージョンのソフトウェアをインストールできないように、Windows インストーラーではバージョンの制御もできるため、例えばセキュリティ上問題のあるバージョンや、サポート期限が切れたアプリケーションのインストールを抑止することができます。エンタープライズでは有効な機能ではないかと思いますが、注意深く OU を設計しないと、「実行できるはずなのにできない」という状態に陥る可能性があります。気をつけてください。

図 33 グループ ポリシーの AppLocker 設定[拡大図]

• Windows Server 2008 R2 および Windows 7 における AppLocker の新機能
• Windows 7 エンタープライズ ショート ビデオ - AppLocker

終わりに

保護者による制限機能はセキュリティのためにも大変役立ちますが、設定しすぎると著しく不便になったり、トラブルシューティングが難しくなります。注意して使ってください。

前のページへ | 1 | 2 | 3 | 4 | 5