アプリの使用要件の収集
この記事では、AppLocker を使用してアプリケーション制御ポリシーを実装するために、各ビジネス グループからアプリの使用要件を収集するプロセスについて説明します。
アプリの使用状況の決定
ビジネス グループごとに、次の情報を決定します。
- さまざまなバージョンのアプリを含む、使用されるアプリの完全な一覧。
- アプリの完全なインストール パス。
- 各アプリの発行元と署名済みの状態。
- ビジネス クリティカル、ビジネス生産性、オプション、個人用など、ビジネス グループがアプリごとに設定する要件の種類。 また、IT 部門によってサポートまたはサポートされていないアプリ、または制御できない他のユーザーによってサポートされているアプリを特定することも、この取り組み中に役立つ場合があります。
アプリの使用状況評価を実行する方法
各ビジネス グループのアプリの使用状況を理解するためのメソッドが既に用意されている場合があります。 AppLocker ルール コレクションを作成するには、この情報を使用する必要があります。 AppLocker には、ルールの自動生成ウィザードと 監査のみの 適用構成が含まれており、ルール コレクションの計画と作成に役立ちます。
アプリケーション インベントリの方法
[ルールの自動生成] ウィザードを使用すると、指定したアプリケーションのルールをすばやく作成できます。 ウィザードは、ルール コレクションを構築するために特別に設計されています。 ローカル セキュリティ ポリシー スナップインを使用して、ルールを表示および編集できます。 このメソッドは、参照コンピューターからルールを作成する場合や、テスト環境で AppLocker ポリシーを作成および評価する場合に便利です。 ただし、参照コンピューターまたはネットワーク ドライブを介してファイルにアクセスできる必要があります。 この要件は、参照コンピューターを設定し、そのコンピューターのメンテナンス ポリシーを決定する際の作業が増える可能性があります。
監査のみの適用方法を使用すると、グループ ポリシー オブジェクト (GPO) を受け取るコンピューター上のすべてのプロセスに関する情報を収集するため、ログを表示できます。 そのため、ビジネス グループ内のコンピューターに適用が及ぼす可能性のある影響を評価できます。 AppLocker にはWindows PowerShellコマンドレットが含まれており、これを使用してイベント ログのイベントを分析し、コマンドレットを使用してルールを作成できます。 ただし、グループ ポリシーを使用して複数のコンピューターに展開する場合、管理容易性のためには、一元的な場所でイベントを収集する手段が重要です。 AppLocker は、ユーザーまたは他のプロセスがコンピューター上で起動するファイルに関する情報をログに記録するため、最初にいくつかのルールの作成を見逃す可能性があります。 そのため、実行が許可されているすべての必要なアプリケーションに正常にアクセスされることを確認できるようになるまで、評価を続行する必要があります。
ヒント
AppLocker ポリシーが有効になっているカスタム アプリケーションに対してアプリケーション検証ツールを実行すると、アプリケーションが実行できなくなる可能性があります。 アプリケーション検証ツールまたは AppLocker を無効にする必要があります。
Get-AppxPackage Windows PowerShell コマンドレットまたは AppLocker コンソールの 2 つの方法を使用して、デバイス上にパッケージ化されたアプリのインベントリを作成できます。
次の記事では、各メソッドを実行する方法について説明します。
インベントリを完了するための前提条件
アプリケーション制御ポリシーのビジネス グループとそのグループ内の各組織単位 (OU) を特定します。 さらに、AppLocker がこれらのポリシーに最も適したソリューションであるかどうかを特定する必要があります。 これらの手順については、次の記事を参照してください。
次のステップ
アプリの一覧を特定して開発します。 アプリの名前、発行元、アプリケーションの重要度を記録します。 アプリのインストール パスを記録します。 詳細については、「 アプリの一覧を文書化する」を参照してください。
アプリの一覧を作成した後、次の手順では、これらのアプリを実行できるように作成するルールを特定します。 この情報は、次のラベルが付いた列の下のテーブルに追加できます。
- 既定のルールを使用するか、新しいルール条件を定義する
- 許可または拒否
- GPO 名
ガイダンスについては、次の記事を参照してください。