参照デバイスを使用した AppLocker ポリシーの作成および管理
IT プロフェッショナル向けのこの記事では、参照コンピューターを使用して AppLocker ポリシーを作成および管理する手順について説明します。
背景と前提条件
AppLocker 参照デバイスは、ポリシーの構成に使用できるベースライン デバイスであり、AppLocker ポリシーを維持するために使用できます。 参照デバイスを構成する手順については、「 AppLocker 参照デバイスの構成」を参照してください。
AppLocker ポリシーの作成と管理に使用される AppLocker 参照デバイスには、運用環境を模倣するために、組織単位 (OU) ごとに対応するアプリが含まれている必要があります。
[監査のみ適用モード] 設定またはWindows PowerShellコマンドレットを使用して、参照デバイスで AppLocker ポリシー テストを実行できます。
手順 1: 参照デバイスでルールを自動的に生成する
AppLocker を使用すると、フォルダー内のすべてのファイルのルールを自動的に生成できます。 AppLocker は、指定したフォルダーをスキャンし、そのフォルダー内の各ファイルに対して選択した条件の種類を作成します。 ルールを自動的に生成する方法については、「ルール の自動生成ウィザードを実行する」を参照してください。
注
このウィザードを実行して、グループ ポリシー オブジェクト (GPO) の最初のルールを作成すると、重要なシステム ファイルの実行を許可する既定のルールを作成するように求められます。 既定のルールはいつでも編集できます。 organizationでカスタム ルールを使用して Windows システム ファイルの実行を許可する場合は、カスタム ルールを作成した後で既定のルールを削除してください。
手順 2: 参照デバイスに既定のルールを作成する
AppLocker には、各規則コレクションの既定の規則が含まれています。 これらの規則は、Windows が正常に動作するために必要なファイルが AppLocker 規則コレクションで許可されるようにするためのものです。 ルール コレクションごとに既定のルールを実行する必要があります。 既定の規則とその使用に関する考慮事項については、「 AppLocker の既定の規則について」を参照してください。 既定の規則を作成する手順については、「 AppLocker の既定の規則を作成する」を参照してください。
重要
既定のルールは、独自のルールを作成するときにテンプレートとして使用できます。 これにより、Windows ディレクトリ内のファイルを実行できます。 ただし、これらの規則は、AppLocker ルールを最初にテストする場合にのみスターター ポリシーとして機能するように意図されています。
手順 3: 参照デバイスでルールとルール コレクションを変更する
AppLocker ポリシーが運用環境で現在実行されている場合は、対応する GPO からポリシーをエクスポートし、参照デバイスに保存します。 ポリシーをエクスポートして保存する方法については、「 GPO から AppLocker ポリシーをエクスポートする」を参照してください。 AppLocker ポリシーが展開されていない場合は、次の手順に従ってルールを作成し、ポリシーを開発します。
- 発行元条件を使用する規則を作成する
- ファイル ハッシュ条件を使用する規則を作成する
- パス条件を使用する規則を作成する
- AppLocker 規則の編集
- AppLocker 規則の例外の追加
- AppLocker 規則の削除
- DLL の規則のコレクションを有効にする
- AppLocker 規則の実施
手順 4: 参照デバイスで AppLocker ポリシーをテストして更新する
ルールの各セットをテストして、それらが意図したとおりに動作することを確認する必要があります。 Test-AppLockerPolicy Windows PowerShell コマンドレットを使用して、参照デバイス上のアプリがルール コレクション内のルールによってブロックされているかどうかを判断できます。 AppLocker ポリシーの定義に使用した各参照デバイスで手順を実行します。 参照デバイスがドメインに参加していること、および適切な GPO から AppLocker ポリシーを受け取っていることを確認します。 AppLocker ルールはリンクされた GPO から継承されるため、すべてのルールをデプロイして、すべてのテスト GPO を同時にテストする必要があります。 この手順を完了するには、次の手順を実行します。
Warning
規則コレクションの適用モード設定を [規則の 適用 ] または [ 未構成] に設定した場合、次の手順を完了するとポリシーが適用されます。 ファイルの実行をブロックする準備ができていない場合にのみ、ルール コレクションの適用モード設定を [監査] に設定します。
手順 5: ポリシーをエクスポートして運用環境にインポートする
AppLocker ポリシーをテストした後、GPO にインポートし (または、グループ ポリシーで管理されていない個々のコンピューターにインポート)、意図した効果を確認できます。 これらのタスクを実行するには、次の手順を実行します。
AppLocker ポリシーの適用設定が [監査のみ] で、ポリシーが意図を満たしていることに満足している場合は、 それを [規則の適用] に変更できます。 適用設定を変更する方法については、「適用 規則の AppLocker ポリシーを構成する」を参照してください。
手順 6: 運用環境でのポリシーの効果を監視する
ポリシーの展開後にさらに絞り込みまたは更新が必要な場合は、次の適切な手順を使用してポリシーを監視および更新します。