Active Directory

【Active Directory 】ソフトウェアの実行をGPOで禁止する2つの方法

こんにちは!SE ブログの相馬です。

 

 

 

今回は、業務に必要のないプログラムの実行をグループポリシー (GPO ) で禁止する 2 つの方法について書きました。

 

 

企業ではマスターイメージから展開した標準の PC を使っているかと思います。PC を効率よく管理する為には同じハードウェア構成、ソフトウェア構成にする必要があります。

 

 

同一の構成にしているとはいえ、ユーザーがインターネットからダウンロードした無料のアプリなど実行して PC の挙動が悪化したり、最悪の場合マルウェアに感染したり、または悪意あるユーザーが不正アクセスツールを実行したりして企業の情報が漏洩したりしてしまう場合があります。

 

 

こういった問題を防ぐために、グループポリシーを使ってソフトウェアの実行を制限する事ができます。

 

 

 

概要

 

 

グループポリシーでは 2 つの方法でソフトウェアの実行を制限する事ができます。

 

  • ソフトウェア制限ポリシー
  • AppLocker

 

 

ソフトウェア制限ポリシーは Windows XP からある歴史が長く、ソフトウェアの実行を制限する事ができるポリシーになります。

 

 

AppLocker は Windows 7 から登場した機能で、ソフトウェアの実行を制限するだけではなく、Windows インストーラやスクリプト、Windows ストアからインストールしたモダンアプリの制限にも対応しています。

 

 

ソフトウェア制限ポリシーは既に Windows 10 バージョン 1803 から開発を終了しています。Windows 10 バージョン 1803 から完全に動作するかは微妙ですね。Microsoft は今後 AppLocker または Windows Defender Application Control を使うよう勧めています。

 

Features removed or planned for replacement starting with Windows 10, version 1803 | Microsoft

 

 

 

また、機能比較については Microsoft のサイトが参考になります。

 

同じドメインでの AppLocker とソフトウェアの制限のポリシーの使用 | Microsoft

 

 

 

ソフトウェア制限ポリシーを使う

 

 

AppLocker の概要と使い方は以下の記事で説明しております。

 

 

 

 

AppLocker を使う

 

 

AppLocker の概要については以下の記事で説明しております。

 

 

 

実際にグループポリシーを使って禁止する方法は以下の記事で説明しております。

 

 

 

 

まとめ

 

 

以上になります。いかがでしょうか。

 

 

ソフトウェアの実行を制限する場合は今後 AppLocker を使う事になりますね。AppLocker のほうが使いやすくインストーラの禁止やスクリプトなどにも対応しているのでソフトウェア制限ポリシーを使わなくても AppLocker で良いかと思います。

 

 

では最後までお読みいただきありがとうございました!

 

 

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りな性格です。

人気記事

1

こんにちは!そーまんです。 今回は、PC に適用されている GPO を確認する方法について書きました。 本題に入る前に、一応参考までにGPOの適用タイミングについての記事をここに貼りましたので、必要に ...

2

こんにちは!そーまんです。 今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは前置きからです。 まずはじめに 組織では PC のラ ...

3

こんにちは!そーまんです。 今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました ...

4

こんにちは!そーまんです。 今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 Windows 10 の検証環境をいじってたらサイン ...

5

こんにちは!そーまんです。 今回は、ユーザープロファイルを削除する方法について書いてみました。 企業の場合よくあることですが、1 台の PC を共有 PC として複数人で使ったり、また余り無いかもしれ ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!そーまんです。 今回は、Windows Server 2019 で NTP サーバーと同期する方法について書きました。 NTP サーバーの必要性や時刻同期の重要性を理解することは社内のシス ...

-Active Directory
-,