ソフトウェアの制限のポリシーの許可/拒否リストおよびアプリケーション インベントリの決定

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

IT プロフェッショナル向けのこのトピックでは、Windows Server 2008 および Windows Vista 以降のソフトウェア制限ポリシー (SRP) によって管理されるアプリケーションの許可リストと拒否リストを作成する方法について説明します。

はじめに

ソフトウェアの制限のポリシー (SRP) はグループ ポリシー ベースの機能で、ドメイン内のコンピューターで実行されているソフトウェア プログラムを識別し、これらのプログラムを実行する機能を制御します。 ソフトウェアの制限のポリシーを使えば、コンピューターの構成に厳格な制限を加え、指定したアプリケーションに限って実行を許可することができます。 ソフトウェア制限ポリシーは Active Directory Domain Services とグループ ポリシーに統合されているものの、スタンドアロン コンピューターで構成することも可能です。 SRP の開始点については、「ソフトウェア制限ポリシー 」を参照してください。

Windows Server 2008 R2 および Windows 7 以降、アプリケーション制御戦略の一部として、SRP の代わりにまたは SRP と組み合わせて Windows AppLocker を使用できます。

SRP を使用して特定のタスクを実行する方法については、次を参照してください。

選択する既定の規則: 許可または拒否

ソフトウェア制限ポリシーは、既定の規則の基礎となる 2 つのモード (許可リストまたは拒否リスト) のいずれかで展開できます。 環境内で実行できるアプリケーションをすべて識別するポリシーを作成できます。ポリシー内の既定の規則は "制限付き" であり、明示的に実行を許可していないアプリケーションをすべてブロックします。 または、実行できないアプリケーションをすべて識別するポリシーを作成できます。既定の規則は "無制限" であり、明示的に一覧表示したアプリケーションのみを制限します。

重要

組織にとって拒否リスト モードは、アプリケーション制御に関してメンテナンスの多い戦略になる場合があります。 すべてのマルウェアや問題のある他のアプリケーションを禁止する進化リストを作成して維持するには時間がかかり、間違いを起こしやすくなります。

許可リストのアプリケーションのインベントリを作成する

既定の許可ルールを効果的に使用するには、組織で必要なアプリケーションを正確に決定する必要があります。 Microsoft アプリケーション互換性ツールキットのインベントリ コレクターなど、アプリケーション インベントリを生成するために設計されたツールがあります。 ただし、SRP には高度なログ機能があり、環境で実行されているアプリケーションを正確に理解するのに役立ちます。

許可するアプリケーションを検出するには

  1. テスト環境で、既定の規則を [無制限] に設定してソフトウェア制限ポリシーを展開し、追加の規則をすべて削除します。 アプリケーションを制限せずに SRP を有効にした場合、SPR は実行中のアプリケーションを監視できるようになります。

  2. 高度なログ機能を有効にし、ログ ファイルの書き込み先のパスを設定するには、次のレジストリ値を作成します。

    "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"

    文字列値: LogFileName への LogFileName パス

    SRP は実行時にすべてのアプリケーションを評価するので、そのアプリケーションが実行されるごとに、エントリがログ ファイル NameLogFile に書き込まれます。

  3. ログ ファイルの評価

    各ログ エントリの状態:

    • ソフトウェア制限ポリシーの呼び出し元と、呼び出し元プロセスのプロセス ID (PID)

    • 評価されるターゲット

    • そのアプリケーションの実行時に検出された SRP ルール

    • SRP ルールの識別子。

    ログ ファイルに書き込まれた出力の例を次に示します。

explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe as Unrestricted usingpath rule, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} SRP がチェックしてブロックに設定したすべてのアプリケーションと関連コードは、ログ ファイルに記録されます。このログ ファイルを使用して、許可リストで考慮すべき実行可能ファイルを判断できます。