規則のコレクション
AppLocker Microsoft 管理コンソール (MMC) スナップインは、規則のコレクションと呼ばれる 4 つの領域で構成されています。この 4 つの規則のコレクションとは、実行可能ファイル、スクリプト、Windows インストーラー ファイル、および DLL ファイルです。管理者はこれらのコレクションを使用することで、簡単にアプリケーションの種類ごとに規則を変えることができます。次の表では、各規則のコレクションに含まれるファイル形式を示します。
 | 注 |
DLL の規則のコレクションは、既定では有効になっていません。DLL の規則のコレクションを有効にする方法については、「AppLocker の規則を実施する」を参照してください。 |
| 規則のコレクション | 関連付けられているファイル形式 |
|---|---|
実行可能ファイル |
.exe .com |
スクリプト |
.ps1 .bat .cmd .vbs .js |
Windows インストーラー |
.msi .msp |
DLL |
.dll .ocx |
 | 重要 |
DLL の規則を使用する場合は、許可されるすべてのアプリケーションで使用される DLL ごとに、DLL 許可ルールを作成する必要があります。 |
 | 注意 |
DLL の規則を使用する場合、AppLocker では、アプリケーションが読み込む DLL を 1 つずつ確認します。このため、DLL の規則を使用すると、パフォーマンスが低下する可能性があります。 |
規則の条件
規則の条件とは、AppLocker の規則の基になる条件です。AppLocker の規則を作成するには、標準の条件が必要です。規則に関する標準の条件とは、発行元、パス、およびファイル ハッシュの 3 つです。
発行元
この条件では、アプリケーションがそのデジタル署名と拡張属性を基に識別されます。デジタル署名には、アプリケーションを作成した会社 (発行元) についての情報が保持されています。バイナリ リソースから取得される拡張属性には、そのアプリケーションが含まれる製品の名前と、アプリケーションのバージョン番号が保持されています。発行元は、Microsoft のようなソフトウェア開発会社であることも、ユーザーの組織の情報技術部門であることもあります。
| 注 |
できる限り発行元の条件を使用してください。発行元の条件を作成すると、アプリケーションの場所が変更されたり、アプリケーションが更新された場合でも、引き続きアプリケーションが機能できるようにすることができます。 |
発行元の条件用に参照ファイルを選択すると、ウィザードによって発行元、製品、ファイル名、およびバージョン番号を指定する規則が作成されます。スライダーを下に移動するか、製品、ファイル名、またはバージョン番号のフィールドにワイルドカード文字 (*) を使用することで、規則の汎用性を高めることもできます。
| 注 |
規則の作成ウィザードで規則を作成する際にカスタム値を入力するには、[カスタム値を使用する] チェック ボックスをオンにします。このチェック ボックスをオンにすると、スライダーを使用して規則の適用対象を調整することはできなくなります。 |
[ファイルのバージョン] では、ユーザーが特定のバージョンか、それよりも前または後のバージョンを実行できるかどうかを制御します。バージョン番号を選択したうえで、次のオプションを構成できます。
- [対象バージョン]。このバージョンのアプリケーションにのみ、規則が適用されます。
- [以上]。このバージョン、およびそれより後のすべてのバージョンに、規則が適用されます。
- [以下]。このバージョン、およびそれより前のすべてのバージョンに、規則が適用されます。
次の表では、発行元の条件がどのように適用されるかを示します。
| オプション | 発行元の条件により許可または拒否される対象 | |
|---|---|---|
[署名されたすべてのファイル] | 発行元によって署名されているすべてのファイル。 | |
[発行元のみ] | 指定の発行元によって署名されているすべてのファイル。 | |
[発行元と製品名] | 指定の発行元によって署名されている、指定された製品に関するすべてのファイル。 | |
[発行元、製品名、およびファイル名]。 | 発行元によって署名されている、指定された製品に関する特定のファイルのすべてのバージョン。 | |
[発行元、製品名、ファイル名、およびファイル バージョン] | [対象バージョン] | 発行元によって署名されている製品に関する、特定のファイルの指定バージョン。 |
[発行元、製品名、ファイル名、およびファイル バージョン] | [以上] | 発行元によって署名されている製品に関する、特定のファイルの指定バージョンと、より新しいすべてのリリース。 |
[発行元、製品名、ファイル名、およびファイル バージョン] | [以下] | 発行元によって署名されている製品に関する、特定のファイルの指定バージョンと、より古いすべてのリリース。 |
[カスタム] | [発行元]、[製品名]、[ファイル名]、および [バージョン] を編集して、カスタムの規則を作成できます。 | |
パス
この条件では、コンピューターのファイル システムまたはネットワーク上のアプリケーションの場所によって、アプリケーションを識別します。
AppLocker では、Windows のディレクトリにパス変数が使用されます。
| 注 |
これらのパス変数のうち 2 つは Windows 環境変数と同じ形式を使用しますが、環境変数ではありません。AppLocker で変換できるのは、AppLocker パス変数のみです。 |
次の表では、これらのパス変数の詳細を示します。
| Windows ディレクトリまたはドライブ | AppLocker パス変数 | Windows 環境変数 |
|---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Windows インストール ディレクトリ | %OSDRIVE% | %SystemDrive% |
Program Files | %PROGRAMFILES% | %ProgramFiles% および %ProgramFiles(x86)% |
リムーバブル メディア (例: CD または DVD) | %REMOVABLE% | |
リームバブル記憶装置 (例: USB フラッシュ ドライブ) | %HOT% |
| 重要 |
パスの条件によっては、多数のフォルダーやファイルを含むように構成されることがあるため、パスの条件は慎重に計画してください。たとえば、パスの条件を使用している許可ルールに、管理者以外のユーザーがデータを書き込むことができるフォルダーが含まれている場合、承認されていないファイルをユーザーがそのフォルダーにコピーして、ファイルを実行できます。このため、ユーザー プロファイルなど、標準ユーザーによる書き込みが可能な場所に対してはパスの条件を作成しないことをお勧めします。 |
ファイル ハッシュ
ファイル ハッシュの条件を選択した場合、指定したファイルの暗号化ファイルがシステムによって計算されます。
AppLocker の既定の規則
AppLocker では、規則の種類ごとに既定の規則を生成できます。
実行可能ファイルの既定の規則の種類は次のとおりです。
- ローカルの Administrators グループのメンバーに、すべてのアプリケーションの実行を許可します。
- Everyone グループのメンバーに、Windows フォルダーに格納されているアプリケーションの実行を許可します。
- Everyone グループのメンバーに、Program Files フォルダーに格納されているアプリケーションの実行を許可します。
Windows インストーラーの既定の規則の種類は次のとおりです。
- ローカルの Administrators グループのメンバーに、すべての Windows インストーラー ファイルの実行を許可します。
- Everyone グループのメンバーに、デジタル署名された Windows インストーラー ファイルの実行を許可します。
- Everyone グループのメンバーに、Windows\Installer フォルダーに格納されているすべての Windows インストーラー ファイルの実行を許可します。
スクリプトの既定の規則の種類は次のとおりです。
- ローカルの Administrators グループのメンバーに、すべてのスクリプトの実行を許可します。
- Everyone グループのメンバーに、Program Files フォルダーに格納されているスクリプトの実行を許可します。
- Everyone グループのメンバーに、Windows フォルダーに格納されているスクリプトの実行を許可します。
DLL の既定の規則の種類は次のとおりです。
- ローカルの Administrators グループのメンバーに、すべての DLL の実行を許可します。
- Everyone グループのメンバーに、Program Files フォルダーに格納されている DLL の実行を許可します。
- Everyone グループのメンバーに、Windows フォルダーに格納されている DLL の実行を許可します。
詳細については、「既定の AppLocker の規則を作成する」を参照してください。
AppLocker の規則の動作
特定の規則のコレクションに対して AppLocker の規則が設定されていない場合、その規則に関連するファイル形式を持つすべてのファイルの実行が許可されます。ただし、特定の規則のコレクションに対して AppLocker の規則が作成されると、規則内で明示的に許可されたファイルのみ実行が許可されます。たとえば、%SystemDrive%\FilePath にある .exe ファイルの実行を許可する実行可能ファイルの規則を作成すると、このパスに格納されている実行可能ファイルのみ、実行が許可されます。
規則は、許可操作または拒否操作を使用するように構成できます。
- [許可]。環境内で実行を許可するファイル、およびユーザーまたはユーザー グループを指定できます。また、例外を構成して、規則から除外するファイルを指定することもできます。
- [拒否]。環境内で実行を許可しないファイル、およびユーザーまたはユーザー グループを指定できます。また、例外を構成して、規則から除外するファイルを指定することもできます。
| 重要 |
許可操作と拒否操作は組み合わせて使用できます。ただし、許可操作に例外を設定して使用することをお勧めします。拒否操作は、どのような場合でも常に許可操作よりも優先されるするためです。拒否操作は、回避することもできます。 |
規則の例外
AppLocker の規則は、個々のユーザーに適用することも、ユーザー グループに適用することもできます。規則をユーザー グループに適用する場合、そのグループのすべてのユーザーが、この規則の影響を受けます。ユーザー グループのサブセットにアプリケーションの使用を許可する必要がある場合は、そのサブセット用に特別な規則を作成できます。たとえば、"すべてのユーザーがレジストリ エディター以外は Windows を実行できる" という規則では、組織内のすべてのユーザーに Windows の実行は許可しますが、どのユーザーにもレジストリ エディターの実行は許可しません。その結果、この規則のために、ヘルプ デスク担当者などのユーザーは、サポート業務に必要なプログラムを実行できなくなります。この問題を解決するため、ヘルプデスク ユーザー グループに適用する "ヘルプデスクにレジストリ エディターの実行を許可する" という第 2 の規則を作成します。ただし、すべてのユーザーにレジストリ エディターの実行を許可しない拒否ルールを作成した場合、この拒否ルールは、ヘルプデスク ユーザー グループにレジストリ エディターの実行を許可する第 2 の規則よりも優先されます。
AppLocker のウィザード
カスタムの規則は、次の 2 とおりの方法で作成できます。
- 規則の作成ウィザードを使用すると、一度に 1 つの規則を作成できます。詳細については、「AppLocker の規則を作成する」を参照してください。
- 規則の自動生成ウィザードを使用すると、フォルダーを選択し、規則を適用するユーザーまたはグループを選択して、そのフォルダーに適用する複数の規則を一度に作成できます。このウィザードでは、許可ルールのみが自動的に生成されます。詳細については、「AppLocker の規則を自動的に生成する」を参照してください。
その他の考慮事項
- 既定では、AppLocker の規則は、具体的に許可されていないファイルをユーザーが開くまたは実行することを許可しません。管理者は、許可するアプリケーションの最新の一覧を維持するようにしてください。
- 更新が行われると効力を失う AppLocker の条件には、次の 2 種類があります。
- ファイル ハッシュの条件。ファイル ハッシュの条件は、規則が作成される時点でアプリケーションの暗号化ハッシュ値が生成されるため、どのアプリケーションにも使用できます。ただし、このハッシュ値は、そのアプリケーションのそのバージョンに固有のものです。組織内でアプリケーションの複数のバージョンが使用されている場合、使用中のバージョンと新しく加わったバージョンごとにファイル ハッシュの条件を作成する必要があります。
- 特定の製品バージョンが設定されている発行元の条件。[対象バージョン] ファイル条件オプションを使用する発行元の条件を作成した場合、アプリケーションの新しいバージョンがインストールされると、規則は効力を失います。新しい発行元の条件を作成するか、規則のバージョンを編集して適用対象を広げる必要があります。
- ファイル ハッシュの条件。ファイル ハッシュの条件は、規則が作成される時点でアプリケーションの暗号化ハッシュ値が生成されるため、どのアプリケーションにも使用できます。ただし、このハッシュ値は、そのアプリケーションのそのバージョンに固有のものです。組織内でアプリケーションの複数のバージョンが使用されている場合、使用中のバージョンと新しく加わったバージョンごとにファイル ハッシュの条件を作成する必要があります。
- アプリケーションにデジタル署名がない場合は、発行元の条件は使用できません。
- AppLocker の規則は、Windows 7 よりも前の Windows オペレーティング システムを実行しているコンピューターの管理には使用できません。代わりに、ソフトウェアの制限のポリシーを使用する必要があります。
- AppLocker の規則がグループ ポリシー オブジェクト (GPO) で定義されている場合、それらの規則のみが適用されます。ソフトウェアの制限のポリシーと AppLocker の規則の相互運用性を確保するため、ソフトウェアの制限のポリシーと AppLocker の規則は別々の GPO に定義してください。
- AppLocker の規則が [監査のみ] に設定されている場合、この規則は実施されません。ユーザーは規則に指定されているアプリケーションを実行でき、アプリケーションは通常どおり開かれて実行され、アプリケーションについての情報が AppLocker イベント ログに追加されます。
- アプリケーションがブロックされた場合に表示されるメッセージに、カスタム構成 URL を含めることができます。
- アプリケーションがブロックされることになるため、ヘルプ デスクへの問い合わせが増加する可能性があります。許可されていないアプリケーションは実行できないことがユーザーに理解されるに従って、ヘルプ デスクへの問い合わせは減少すると考えられます。
その他の参照情報