【Active Directory 】ソフトウェアの実行をGPOで禁止する2つの方法

Active Directory

【Active Directory 】ソフトウェアの実行をGPOで禁止する2つの方法

こんにちは!SE ブログの相馬です。

 

 

 

今回は、業務に必要のないプログラムの実行をグループポリシー (GPO ) で禁止する 2 つの方法について書きました。

 

 

企業ではマスターイメージから展開した標準の PC を使っているかと思います。PC を効率よく管理する為には同じハードウェア構成、ソフトウェア構成にする必要があります。

 

 

同一の構成にしているとはいえ、ユーザーがインターネットからダウンロードした無料のアプリなど実行して PC の挙動が悪化したり、最悪の場合マルウェアに感染したり、または悪意あるユーザーが不正アクセスツールを実行したりして企業の情報が漏洩したりしてしまう場合があります。

 

 

こういった問題を防ぐために、グループポリシーを使ってソフトウェアの実行を制限する事ができます。

 

 

 

概要

 

 

グループポリシーでは 2 つの方法でソフトウェアの実行を制限する事ができます。

 

  • ソフトウェア制限ポリシー
  • AppLocker

 

 

ソフトウェア制限ポリシーは Windows XP からある歴史が長く、ソフトウェアの実行を制限する事ができるポリシーになります。

 

 

AppLocker は Windows 7 から登場した機能で、ソフトウェアの実行を制限するだけではなく、Windows インストーラやスクリプト、Windows ストアからインストールしたモダンアプリの制限にも対応しています。

 

 

ソフトウェア制限ポリシーは既に Windows 10 バージョン 1803 から開発を終了しています。Windows 10 バージョン 1803 から完全に動作するかは微妙ですね。Microsoft は今後 AppLocker または Windows Defender Application Control を使うよう勧めています。

 

Features removed or planned for replacement starting with Windows 10, version 1803 | Microsoft

 

 

 

また、機能比較については Microsoft のサイトが参考になります。

 

同じドメインでの AppLocker とソフトウェアの制限のポリシーの使用 | Microsoft

 

 

 

ソフトウェア制限ポリシーを使う

 

 

AppLocker の概要と使い方は以下の記事で説明しております。

 

 

 

 

AppLocker を使う

 

 

AppLocker の概要については以下の記事で説明しております。

 

 

 

実際にグループポリシーを使って禁止する方法は以下の記事で説明しております。

 

 

 

 

まとめ

 

 

以上になります。いかがでしょうか。

 

 

ソフトウェアの実行を制限する場合は今後 AppLocker を使う事になりますね。AppLocker のほうが使いやすくインストーラの禁止やスクリプトなどにも対応しているのでソフトウェア制限ポリシーを使わなくても AppLocker で良いかと思います。

 

 

では最後までお読みいただきありがとうございました!

 

 

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りでマイペースな人です。

人気記事

1

こんにちは!SE ブログの相馬です。       今回は、PC に適用されている GPO を確認する方法について書きました。     グループポリシー ...

2

こんにちは!SE ブログの相馬です。       今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは ...

3

こんにちは!SE ブログの相馬です。       今回は、グループポリシーを使って、特定のコンピューターに対して、ドメインユーザーに Administrators 権限を ...

4

こんにちは!SE ブログの相馬です。       今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 ...

5

こんにちは!SEブログの相馬です。       今回は、ユーザープロファイルを削除する方法について書いてみました。     1 台の PC を複数人で ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!SE ブログの相馬です。       今回は、Windows Server 2016 で NTP サーバーと同期する方法について書きました。   & ...

-Active Directory
-,