SEブログ

【Active Directory】AppLockerとは何か

こんにちは!SE ブログの相馬です。

 

 

 

今回は、グループポリシーでアプリケーションの実行を制限する為の機能である、AppLocker の概要についてまとめてみました。

 

 

企業では、インターネットからダウンロードした無料のツールやスクリプトを実行した結果、以下のような問題から避けるために、企業で認めないツールやスクリプトやインストーラの実行を拒否したり、逆に認めるものは実行を許可したりする必要があります。

 

  • マルウェアに感染
  • PC の構成管理から外れる
  • PC の動作が不安定になりサポート対応の負荷が増加
  • 勝手にインストールしたソフトウェアのライセンス違反

 

 

そういった制限をかける為にサードパーティ製のツールを含めると様々な手段はあるのですが、グループポリシーを使った AppLocker を使えば追加の費用を支払わずに済みます。

 

 

という事で、まずは AppLocker がどういうものか、概要を把握してゆきましょう。

 

 

 

スポンサーリンク

AppLocker で何ができるか

 

 

平たく言ってしまえば、どのグループ、どのユーザーに対して、何を、どう制御するのかを AppLocker で実現する事が可能です。

 

 

AppLocker ではアプリケーションの実行やスクリプトやインストールを制限する事ができ、柔軟かつ簡単に設定が可能です。また、よくソフトウェアの制限ポリシーと比較されますが、こちらのほうができる事が多いのではないかと思います。

 

  1. アプリケーションの実行を制限する
  2. ソフトウェアの制限ポリシーのように使えるが、ルールはアップデートされる
  3. ウィザードに沿って簡単に設定できる
  4. ソフトウェアの制限ポリシーより柔軟に使える

 

 

 

 

 

スポンサーリンク

システム要件

 

 

グループポリシーを使うために Active Directory が必要になります。また、以下の Windows をサポートしている事が必要です。Windows 10 や Windows Server 2016 は問題無く使用できます。

 

  • Windows 7 或いはそれ以上
  • Windows Server 2008 R2 或いはそれ以上

 

 

 

AppLocker を適用する PC の前提条件

 

 

AppLocker が適用されるクライアント PC 側では Application Identity というサービスが常に起動している必要があります。

 

 

 

 

スポンサーリンク

ルールの種類

 

 

AppLocker ではルールというものを使って、何を制御するかを決めます。

 

ルール 説明
実行可能ファイル .exe や .com などの拡張子に対応している。
Windows インストーラー .msi や .msp のインストーラに対応している。
スクリプト .ps1 や .bat、.cmd、.vbs 、.js に対応している。
パッケージアプリ Microsoft ストアからインストールしたアプリに対応している。

 

 

 

スポンサーリンク

ルールの条件

 

 

それぞれのルールを決めたら条件を決めます。

 

条件 説明
発行元 ソフトウェアの発行元によって署名されている場合は特定でき、また全バージョンのルールも作成できる。
パス フォルダやプログラムファイルのパスを指定する事で特定が可能。環境変数、UNC パスやワイルドカードが使える。
ハッシュ ソフトウェアの発行元によって署名されていない場合はハッシュで特定する。設定的にはソフトウェアの制限ポリシーと同等だが簡単に設定できる。

 

 

AppLocker は、許可するホワイトリスト型と、許可しないブラックリスト型の両方に対応しています。よりセキュアに設定する場合ホワイトリスト型で設計すると良いでしょう。以下、Microsoft のブログに詳細で分かりやすく説明されています。

 

この SRP では制御したいアプリケーションの登録を逐次行うブラックリスト型の制御方式を採用していますが、Windows 7 Enterprise に実装される AppLocker は SRP のブラックリスト型の制御に加え、利用を許可するアプリケーションの条件を定義し、その条件に合致しないアプリケーションの実行を制限するホワイトリスト型の制御と組み合わせ可能となっているのが大きな特徴です。

【Windows 7 展開のコツ】AppLocker で標準外アプリケーションの利用を制御する (1) | Windows くらいあんと通信

 

 

 

AppLocker を設定する方法

 

 

以下の記事で紹介しておりますので、AppLocker を設定するにあたって参考にしていただければと思います。

 

【Active Directory】AppLockerでアプリの実行を制御する

 

 

スポンサーリンク

まとめ

 

 

以上になります。いかがでしょうか。AppLocker を使えばアプリケーションの実行やスクリプトの実行をユーザーまたはグループ単位で制御する事ができます。

 

 

上手に使う事によって、要件によりますが高いサードパーティーのツールを購入しなくても AppLocker で運用する事ができるかもしれませんし経費削減になりますね。

 

 

では最後までお読みいただきありがとうございました!