【Active Directory】ソフトウェア制限ポリシーとは何か

Active Directory

【Active Directory】ソフトウェア制限ポリシーとは何か

こんにちは!SE ブログの相馬です。

 

 

 

今回は、グループポリシーを使ってアプリケーションの実行を制限する為の機能である、ソフトウェアの制限ポリシーの概要についてまとめてみました。

 

 

企業では、インターネットからダウンロードした無料のアプリなどを実行した結果、以下のような問題から避けるために、企業で認めないアプリの実行を拒否する必要があります。

 

  • 不正なツールが実行されマルウェアに感染
  • PC の動作が不安定になりサポート対応の負荷が増加

 

 

こういった制限をかける為に、グループポリシーを使ったソフトウェアの制限ポリシーを使う事ができます。

 

 

という事で、まずは ソフトウェアの制限ポリシーがどういうものか、概要を把握してゆきましょう。

 

 

 

ソフトウェアの制限ポリシーで何ができるか

 

 

ソフトウェアの制限ポリシーはルールを作成してソフトウェアを特定し、そのソフトウェアの実行を制御する事ができます。

 

 

平たく言ってしまえば、全てのユーザー (或いは管理者権限を持つユーザー以外の全ユーザー) に対して、どのソフトウェアを、どう制御するのかを ソフトウェアの制限ポリシーで実現する事が可能です。

 

 

ソフトウェアの制限ポリシー ではソフトウェアの実行を制限する事ができ、以下の 4 つの方法で設定が可能です。Windows XP からある機能で歴史としては長いです。

 

特徴 説明
ハッシュの規則 ソフトウェア実行の許可または拒否をハッシュ値に基づいて判定が可能。但し制限したソフトウェアがバージョンアップされた場合はハッシュの値が変わるので再登録する必要がある。
証明書の規則 ソフトウェアの発行元によって署名されている場合は、ソフトウェア発行元の証明書を指定して特定が可能。
パスの規則 フォルダやプログラムファイルのパスを指定する事で特定が可能。環境変数、UNC パスやワイルドカードが使える。
インターネットゾーンの規則 Internet Explorer のセキュリティゾーン毎に許可または拒否が可能

 

 

ソフトウェア制限ポリシーは、許可するホワイトリスト型と、許可しないブラックリスト型の両方に対応しています。よりセキュアに設定する場合ホワイトリスト型で設計すると良いでしょう。ソフトウェア制限ポリシーではデフォルトではブラックリスト型になります。

 

 

 

ルールを作成する

 

 

以下の 2 つのルールを作成して設定しますが、追加のルールでどんどん追加してゆくようなイメージになります。

 

特徴 説明
セキュリティレベル デフォルトの挙動を設定する。

  • 許可しない:アクセス権限に関係なく実行できません。
  • 基本ユーザー:管理者権限が無いユーザーとして実行する。
  • 制限しない:アクセス権限の制限はしない。
追加のルール 上のほうにある 4 つの方法のどれかを使ってソフトウェアを特定します。

  • ハッシュの規則
  • 証明書の規則
  • パスの規則
  • インターネットゾーンの規則

 

 

 

システム要件

 

 

グループポリシーを使うために Active Directory が必要になります。また、以下の Windows をサポートしている事が必要です。

 

  • Windows XP 或いはそれ以上
  • Windows Server 2003 或いはそれ以上

 

 

ソフトウェア制限ポリシーは既に Windows 10 バージョン 1803 から開発を終了しています。Windows 10 バージョン 1803 から完全に動作するかは微妙ですね。Microsoft は今後 AppLocker または Windows Defender Application Control を使うよう勧めています。

 

Features removed or planned for replacement starting with Windows 10, version 1803 | Microsoft

 

 

 

一応ですが AppLocker の記事もありますので、ご参考いただければと思います。

 

 

 

 

ソフトウェア制限ポリシーを設定する方法

 

 

以下の記事で紹介しておりますので、ソフトウェア制限ポリシーを設定するにあたって参考にしていただければと思います。

 

 

 

 

まとめ

 

 

以上になります。いかがでしょうか。ソフトウェア制限ポリシーを使えばアプリケーションの実行やスクリプトの実行を制御する事ができます。

 

 

では最後までお読みいただきありがとうございました!

 

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りでマイペースな人です。

人気記事

1

こんにちは!SE ブログの相馬です。       今回は、PC に適用されている GPO を確認する方法について書きました。     グループポリシー ...

2

こんにちは!SE ブログの相馬です。       今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは ...

3

こんにちは!SE ブログの相馬です。       今回は、グループポリシーを使って、特定のコンピューターに対して、ドメインユーザーに Administrators 権限を ...

4

こんにちは!SE ブログの相馬です。       今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 ...

5

こんにちは!SEブログの相馬です。       今回は、ユーザープロファイルを削除する方法について書いてみました。     1 台の PC を複数人で ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!SE ブログの相馬です。       今回は、Windows Server 2016 で NTP サーバーと同期する方法について書きました。   & ...

-Active Directory
-,