AppLocker のプロセスと対話式操作
注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
IT プロフェッショナル向けのこの記事では、AppLocker がルールを評価して適用するときのプロセスの依存関係と相互作用について説明します。
AppLocker がポリシーを適用する方法
AppLocker ポリシーは、構成された適用モード設定のいずれかを含む可能性がある規則のコレクションです。 適用すると、各ルールがポリシー内で評価され、適用設定とグループ ポリシー構造に従ってルールのコレクションが適用されます。
AppLocker ポリシーは、アプリケーション ID サービス (appid.sys) を介してコンピューターに適用されます。これは、ポリシーを評価し、Windows カーネル内で実行するエンジンです。 サービスが実行されていない場合、ポリシーは適用されません。 Application Identity サービスは、製品名またはバイナリ名が空の場合でも、バイナリからローカル セキュリティ ポリシー スナップインの結果ウィンドウに情報を返します。
AppLocker ポリシーは、アプリケーション ID サービスの要件に従ってセキュリティ記述子形式で格納されます。 ファイル パス、ハッシュ、または完全修飾バイナリ名属性を使用して、ルールに対する許可または拒否アクションを形成します。 各規則は、アクセス制御エントリ (ACE) としてセキュリティ記述子に格納され、次の情報が含まれています。
- セキュリティ記述子定義言語 (SDDL) 形式の許可または拒否 ACE ("XA" または "XD" のいずれか)。
- この規則が適用されるユーザー セキュリティ識別子 (SID)。 (既定値は、SDDL で認証されたユーザー SID です)。
- appid 属性を含むルール条件。
たとえば、%windir% ディレクトリ内のすべてのファイルの実行を許可するルールの SDDL は、次の形式を使用します: XA;;FX;;;AU;(APPID://PATH == "%windir%\\\*")
。
Appid.sys DLL と実行可能ファイルの有効な AppLocker ポリシーを読み取り、キャッシュします。 新しいポリシーが適用されるたびに、ポリシー コンバーター タスクによって appid.sys に通知されます。 その他の種類のファイルの場合、 SaferIdentifyLevel 呼び出しが行われるたびに AppLocker ポリシーが読み取られます。
AppLocker ルールについて
AppLocker 規則は、特定のユーザーまたはグループに対して実行されるかどうかを制御するファイルに配置されるコントロールです。 5 種類のファイルまたはコレクションに対して AppLocker ルールを作成します。
- 実行可能ルールは、ユーザーまたはグループが実行可能ファイルを実行できるかどうかを制御します。 ほとんどの場合、実行可能ファイルは .exe または.comファイル名拡張子を持ち、アプリケーションに適用されます。
- スクリプト ルールは、ユーザーまたはグループが、.ps1、.bat、.cmd、.vbs、および .js のファイル名拡張子を持つスクリプトを実行できるかどうかを制御します。
- Windows インストーラー 規則は、ユーザーまたはグループが、ファイル名拡張子が .msi、.mst、.msp (Windows インストーラーパッチ) のファイルを実行できるかどうかを制御します。
- DLL ルールは、ユーザーまたはグループがファイル名拡張子が .dll および .ocx のファイルを実行できるかどうかを制御します。
- パッケージ アプリとパッケージ アプリ インストーラールールは、ユーザーまたはグループがパッケージ化されたアプリを実行またはインストールできるかどうかを制御します。 パッケージ アプリ インストーラーには、.appx拡張機能があります。
ルールに適用できる条件には、次の 3 種類があります。
ルールの発行元条件は、ユーザーまたはグループが特定のソフトウェア発行元からファイルを実行できるかどうかを制御します。 ファイルは署名されている必要があります。
ルールのパス条件は、ユーザーまたはグループが特定のディレクトリまたはそのサブディレクトリ内からファイルを実行できるかどうかを制御します。
ルールのファイル ハッシュ条件は、暗号化されたハッシュが一致するファイルをユーザーまたはグループが実行できるかどうかを制御します。
-
AppLocker 規則コレクションは、実行可能ファイル、Windows インストーラー ファイル、スクリプト、DLL、およびパッケージ 化されたアプリのいずれかの種類に適用される規則のセットです。
-
ルールの条件は、AppLocker ルールの基になっている条件です。 AppLocker 規則を作成するには、主な条件が必要です。 3 つの主要なルール条件は、発行元、パス、およびファイル ハッシュです。
-
AppLocker には、各規則コレクションの既定の規則が含まれています。 これらの規則は、Windows が正常に動作するために必要なファイルが AppLocker 規則コレクションで許可されるようにするためのものです。
-
AppLocker ルールは、個々のユーザーまたはユーザーのグループに適用できます。 ユーザーのグループにルールを適用すると、そのグループ内のすべてのユーザーにルールが影響します。 アプリケーションの使用をユーザー グループのサブセットのみに許可する必要がある場合は、そのサブセットの特別なルールを作成できます。
AppLocker ルールの動作 についてと 、ルールに対する AppLocker の許可と拒否のアクションについて
各 AppLocker 規則コレクションは、許可されたファイルの一覧として機能します。
AppLocker ポリシーについて
AppLocker ポリシーは、ルール コレクションのセットであり、対応する構成済みの適用モード設定が 1 つ以上のコンピューターに適用されます。
-
ルールの適用は、個々のルールではなく、ルールのコレクションにのみ適用されます。 AppLocker は、ルールを実行可能ファイル、Windows インストーラー ファイル、スクリプト、DLL ファイルの 4 つのコレクションに分割します。 ルールの適用オプションは 、[未構成]、[ ルールの適用]、または [監査のみ] です。 一緒に、すべての AppLocker 規則コレクションがアプリケーション制御ポリシーまたは AppLocker ポリシーを構成します。 既定では、適用が構成されておらず、規則が規則コレクションに存在する場合、それらの規則が適用されます。
AppLocker とグループ ポリシーについて
グループ ポリシーを使用して、AppLocker ポリシーを個別のオブジェクトに作成、変更、配布したり、他のポリシーと組み合わせて配布したりできます。
グループ ポリシーでの AppLocker 規則と実施設定の継承について
グループ ポリシーを使用して AppLocker ポリシーを配布する場合、適用モードが [監査のみ] に設定されていない限り、1 つ以上の規則を含む規則コレクションが適用されます。 グループ ポリシーは、リンクされたグループ ポリシー オブジェクト (GPO) に既に存在する規則を上書きしたり置き換えたりせず、既存の規則に加えて AppLocker 規則を適用します。 AppLocker では、許可規則の前に明示的な拒否規則が処理され、規則の適用のために、GPO への最後の書き込みが適用されます。