SEブログ

【Active Directory 】ソフトウェアの実行をGPOで禁止する2つの方法

 

こんにちは!SE ブログの相馬です。

 

 

 

今回は、業務に必要のないプログラムの実行をグループポリシー (GPO ) で禁止する 2 つの方法について書きました。

 

 

企業ではマスターイメージから展開した標準の PC を使っているかと思います。PC を効率よく管理する為には同じハードウェア構成、ソフトウェア構成にする必要があります。

 

 

同一の構成にしているとはいえ、ユーザーがインターネットからダウンロードした無料のアプリなど実行して PC の挙動が悪化したり、最悪の場合マルウェアに感染したり、または悪意あるユーザーが不正アクセスツールを実行したりして企業の情報が漏洩したりしてしまう場合があります。

 

 

こういった問題を防ぐために、グループポリシーを使ってソフトウェアの実行を制限する事ができます。

 

 

 

スポンサーリンク

概要

 

 

グループポリシーでは 2 つの方法でソフトウェアの実行を制限する事ができます。

 

  • ソフトウェア制限ポリシー
  • AppLocker

 

 

ソフトウェア制限ポリシーは Windows XP からある歴史が長く、ソフトウェアの実行を制限する事ができるポリシーになります。

 

 

AppLocker は Windows 7 から登場した機能で、ソフトウェアの実行を制限するだけではなく、Windows インストーラやスクリプト、Windows ストアからインストールしたモダンアプリの制限にも対応しています。

 

 

ソフトウェア制限ポリシーは既に Windows 10 バージョン 1803 から開発を終了しています。Windows 10 バージョン 1803 から完全に動作するかは微妙ですね。Microsoft は今後 AppLocker または Windows Defender Application Control を使うよう勧めています。

 

Features removed or planned for replacement starting with Windows 10, version 1803 | Microsoft

 

 

 

また、機能比較については Microsoft のサイトが参考になります。

 

同じドメインでの AppLocker とソフトウェアの制限のポリシーの使用 | Microsoft

 

 

 

スポンサーリンク

ソフトウェア制限ポリシーを使う

 

 

AppLocker の概要と使い方は以下の記事で説明しております。

 

【Active Directory】ソフトウェア制限ポリシーとは何か

 

 

 

AppLocker を使う

 

 

AppLocker の概要については以下の記事で説明しております。

 

【Active Directory】AppLockerとは何か

 

 

実際にグループポリシーを使って禁止する方法は以下の記事で説明しております。

 

【Active Directory】AppLockerでアプリの実行を制御する

 

 

 

スポンサーリンク

まとめ

 

 

以上になります。いかがでしょうか。

 

 

ソフトウェアの実行を制限する場合は今後 AppLocker を使う事になりますね。AppLocker のほうが使いやすくインストーラの禁止やスクリプトなどにも対応しているのでソフトウェア制限ポリシーを使わなくても AppLocker で良いかと思います。

 

 

では最後までお読みいただきありがとうございました!