ソフトウェアの制限のポリシーの管理
IT 担当者向けのこのトピックでは、Windows Server 2008 および Windows Vista 以降で導入されたソフトウェアの制限のポリシー (SRP) を使用して、アプリケーション制御ポリシーを管理する手順について説明します。
はじめに
ソフトウェアの制限のポリシー (SRP) はグループ ポリシー ベースの機能で、ドメイン内のコンピューターで実行されているソフトウェア プログラムを識別し、これらのプログラムを実行する機能を制御します。 ソフトウェアの制限のポリシーを使えば、コンピューターの構成に厳格な制限を加え、指定したアプリケーションに限って実行を許可することができます。 ソフトウェア制限ポリシーは Active Directory Domain Services とグループ ポリシーに統合されているものの、スタンドアロン コンピューターで構成することも可能です。 SRP の詳細については、「ソフトウェア制限ポリシー」を参照してください。
Windows Server 2008 R2 および Windows 7 以降では、アプリケーション制御戦略の一部として Windows AppLocker を SRP の代わりに、または SRP と組み合わせて使用できます。
このトピックの内容は次のとおりです。
SRP を使用して特定のタスクを実行する方法については、次を参照してください。
ソフトウェアの制限のポリシーを開く方法
ドメイン、サイト、または組織単位の場合で、かつメンバー サーバーまたはドメインに参加しているワークステーションで作業している場合
ドメインまたは組織単位の場合で、かつドメイン コントローラーまたはリモート サーバー管理ツールがインストールされているワークステーションで作業している場合
サイトの場合で、かつドメイン コントローラーまたはリモート サーバー管理ツールがインストールされているワークステーションで作業している場合
ローカル コンピューターの場合
[ローカル セキュリティ設定] を開きます。
コンソール ツリーで、[ソフトウェアの制限のポリシー] をクリックします。
場所:
- セキュリティ設定/ソフトウェアの制限のポリシー
注意
この手順を実行するには、ローカル コンピューターの Administrators グループのメンバーであるか、適切な権限が委任されている必要があります。
ドメイン、サイト、または組織単位の場合で、かつメンバー サーバーまたはドメインに参加しているワークステーションで作業している場合
Microsoft 管理コンソール (MMC) を開きます。
[ファイル] メニューで、[スナップインの追加と削除] をクリックし、[追加] をクリックします。
[ローカル グループ ポリシー オブジェクト エディター] をクリックし、[追加] をクリックします。
[グループ ポリシー オブジェクトの選択] で、[参照] をクリックします。
[グループ ポリシー オブジェクトの参照] で、適切なドメイン、サイト、または組織単位のグループ ポリシー オブジェクト (GPO) を選択する、または新しいものを作成して、[完了] をクリックします。
[閉じる] をクリックしてから [OK] をクリックします。
コンソール ツリーで、[ソフトウェアの制限のポリシー] をクリックします。
場所:
グループ ポリシー オブジェクト [コンピューター名] ポリシー/コンピューターの構成、または
ユーザー構成/Windows 設定/セキュリティ設定/ソフトウェアの制限のポリシー
注意
この手順を実行するには、Domain Admins グループのメンバーである必要があります。
ドメインまたは組織単位の場合で、かつドメイン コントローラーまたはリモート サーバー管理ツールがインストールされているワークステーションで作業している場合
[グループ ポリシー管理コンソール] を開きます。
コンソール ツリーで、ソフトウェアの制限のポリシーを開くグループ ポリシー オブジェクト (GPO) を右クリックします。
[編集] をクリックして、編集する GPO を開きます。 このほか、[新規作成] をクリックして新しい GPO を作成し、[編集] をクリックする方法があります。
コンソール ツリーで、[ソフトウェアの制限のポリシー] をクリックします。
場所:
グループ ポリシー オブジェクト [コンピューター名] ポリシー/コンピューターの構成、または
ユーザー構成/Windows 設定/セキュリティ設定/ソフトウェアの制限のポリシー
注意
この手順を実行するには、Domain Admins グループのメンバーである必要があります。
サイトの場合で、かつドメイン コントローラーまたはリモート サーバー管理ツールがインストールされているワークステーションで作業している場合
[グループ ポリシー管理コンソール] を開きます。
コンソール ツリーで、グループ ポリシーを設定するサイトを右クリックします。
場所:
- Active Directory サイトとサービス [ドメイン コントローラー名.ドメイン名]/サイト/サイト
[グループ ポリシー オブジェクトのリンク] のエントリをクリックして既存のグループ ポリシー オブジェクト (GPO) を選択した後、[編集] をクリックします。 このほか、[新規作成] をクリックして新しい GPO を作成し、[編集] をクリックする方法があります。
コンソール ツリーで、[ソフトウェアの制限のポリシー] をクリックします。
Where
グループ ポリシー オブジェクト [コンピューター名] ポリシー/コンピューターの構成、または
ユーザー構成/Windows 設定/セキュリティ設定/ソフトウェアの制限のポリシー
注意
- この手順を実行するには、ローカル コンピューターの Administrators グループのメンバーであるか、適切な権限が委任されている必要があります。 コンピューターがドメインに追加されると、Domain Admins グループのメンバーは、この手順を実行できる場合があります。
- コンピューターに適用されるポリシー設定を指定するには、ログオンしているユーザーに関係なく、[コンピューターの構成] をクリックします。
- ユーザーに適用されるポリシー設定を指定するには、ログオンしているコンピューターに関係なく、[ユーザーの構成] をクリックします。
ソフトウェアの制限のポリシーを新規作成する方法
[ソフトウェアの制限のポリシー] を開きます。
[操作] メニューの [新しいソフトウェアの制限のポリシー] をクリックします。
警告
この手順の実行にあたっては、環境に応じて異なる管理者資格情報が必要になります。
- ローカル コンピューター用に新しいソフトウェアの制限のポリシーを作成する場合、この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のグループのメンバーシップが必要です。
- ドメインに参加しているコンピューターについてソフトウェアの制限のポリシーを新規作成する場合には、Domain Admins グループのメンバーのみこの手順を実行できます。
グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーが作成済みである場合には、[操作] メニューに [新しいソフトウェアの制限のポリシー] コマンドが表示されません。 GPO に適用されているソフトウェアの制限のポリシーを削除するには、[ソフトウェアの制限のポリシー] を右クリックし、[ソフトウェアの制限のポリシーを削除する] をクリックします。 GPO のソフトウェアの制限のポリシーを削除すると、その GPO に設定されているソフトウェアの制限のポリシーの規則もすべて削除されます。 ソフトウェアの制限のポリシーを削除した後には、その GPO についてソフトウェアの制限のポリシーを新規作成できます。
指定したファイルの種類を追加または削除する方法
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[指定されたファイルの種類] をダブルクリックします。
次のいずれかの操作を行います。
ファイルの種類を追加するには、[ファイル名拡張子] でファイル名拡張子を入力し、[追加] をクリックします。
ファイルの種類を削除するには、[指定されたファイルの種類] でファイルの種類をクリックしてから、[削除] をクリックします。
注意
この手順の実行にあたっては、指定したファイルの種類を追加または削除する環境に応じて異なる管理者資格情報が必要になります。
- 指定したファイルの種類をローカル コンピューターに追加したり、ローカル コンピューターから削除したりする場合、この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のグループのメンバーシップが必要です。
- ドメインに参加しているコンピューターについてソフトウェアの制限のポリシーを新規作成する場合には、Domain Admins グループのメンバーのみこの手順を実行できます。
グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
ファイルの種類の指定内容は、GPO のコンピューターの構成およびユーザーの構成の規則すべてに共有されます。
ソフトウェアの制限のポリシーをローカルの管理者に適用しないようにする方法
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[実施] をダブルクリックします。
[ソフトウェアの制限のポリシーの適用ユーザー] で、[ローカル管理者を除くすべてのユーザー] をクリックします。
警告
- この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。
- グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
- ユーザーが組織内にあるコンピューターのローカル Administrators グループのメンバーになることが普通である場合には、このオプションを有効にしないこともあります。
- ローカル コンピューターに対してソフトウェアの制限のポリシーの設定を定義するときには、この手順を実行するとローカル管理者にソフトウェアの制限のポリシーが適用されなくなります。 ネットワークに対してソフトウェアの制限のポリシー設定を定義するときには、グループ ポリシーを使用してセキュリティ グループのメンバーシップを基にポリシー設定をフィルター処理します。
ソフトウェアの制限のポリシーのセキュリティ レベルの既定値を変更する方法
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[セキュリティ レベル] をダブルクリックします。
既定に設定するセキュリティ レベルを右クリックし、[既定に設定] をクリックします。
注意事項
一部のディレクトリでは既定のセキュリティ レベルを [許可しない] に設定すると、オペレーティング システムに悪影響を及ぼす可能性があります。
注意
- この手順の実行にあたっては、ソフトウェアの制限のポリシーの既定のセキュリティ レベルを変更する環境に応じて異なる管理者資格情報が必要になります。
- このグループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
- 現在既定値に設定されているセキュリティ レベルは、詳細ウィンドウで黒丸の中にチェック マークを付けて表示されます。 現在既定値に設定されているセキュリティ レベルを右クリックした場合には、メニューに [既定に設定] コマンドは表示されません。
- ソフトウェアの制限のポリシーの規則は、既定のセキュリティ レベルに対する例外を指定するために作成するものです。 既定のセキュリティ レベルが [制限なし] に設定されている場合には、規則では実行を許可しないソフトウェアを指定できます。 既定のセキュリティ レベルが [許可しない] に設定されている場合には、規則では実行を許可するソフトウェアを指定できます。
- インストール時には、システム上の全ファイルについてソフトウェアの制限のポリシーの既定のセキュリティ レベルが [制限なし] に設定されています。
ソフトウェアの制限のポリシーを DLL に適用する方法
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[実施] をダブルクリックします。
[ソフトウェアの制限のポリシーの適用ユーザー] で、[ソフトウェアのファイルすべて] をクリックします。
注意
- この手順を実行するには、ローカル コンピューターの Administrators グループのメンバーであるか、適切な権限が委任されている必要があります。 コンピューターがドメインに追加されると、Domain Admins グループのメンバーは、この手順を実行できる場合があります。
- 既定では、ソフトウェアの制限のポリシーによってダイナミック リンク ライブラリ (DLL) がチェックされることはありません。 DLL をチェックする設定にしていると、DLL が読み込まれるたびにソフトウェアの制限のポリシーの評価が必要になるため、システムのパフォーマンスが低下するおそれがあります。 ただし、DLL を標的とするウイルスを受信することが心配であれば、DLL のチェックを有効にすることが考えられます。 既定のセキュリティ レベルが [許可しない] に設定されていて、DLL のチェックを有効にした場合には、各 DLL の実行を許可するソフトウェアの制限のポリシーの規則を作成する必要があります。