SEブログ

【Active Directory】ソフトウェア制限ポリシーとは何か

 

こんにちは!SE ブログの相馬です。

 

 

 

今回は、グループポリシーを使ってアプリケーションの実行を制限する為の機能である、ソフトウェアの制限ポリシーの概要についてまとめてみました。

 

 

企業では、インターネットからダウンロードした無料のアプリなどを実行した結果、以下のような問題から避けるために、企業で認めないアプリの実行を拒否する必要があります。

 

  • 不正なツールが実行されマルウェアに感染
  • PC の動作が不安定になりサポート対応の負荷が増加

 

 

こういった制限をかける為に、グループポリシーを使ったソフトウェアの制限ポリシーを使う事ができます。

 

 

という事で、まずは ソフトウェアの制限ポリシーがどういうものか、概要を把握してゆきましょう。

 

 

 

スポンサーリンク

ソフトウェアの制限ポリシーで何ができるか

 

 

ソフトウェアの制限ポリシーはルールを作成してソフトウェアを特定し、そのソフトウェアの実行を制御する事ができます。

 

 

平たく言ってしまえば、全てのユーザー (或いは管理者権限を持つユーザー以外の全ユーザー) に対して、どのソフトウェアを、どう制御するのかを ソフトウェアの制限ポリシーで実現する事が可能です。

 

 

ソフトウェアの制限ポリシー ではソフトウェアの実行を制限する事ができ、以下の 4 つの方法で設定が可能です。Windows XP からある機能で歴史としては長いです。

 

特徴 説明
ハッシュの規則 ソフトウェア実行の許可または拒否をハッシュ値に基づいて判定が可能。但し制限したソフトウェアがバージョンアップされた場合はハッシュの値が変わるので再登録する必要がある。
証明書の規則 ソフトウェアの発行元によって署名されている場合は、ソフトウェア発行元の証明書を指定して特定が可能。
パスの規則 フォルダやプログラムファイルのパスを指定する事で特定が可能。環境変数、UNC パスやワイルドカードが使える。
インターネットゾーンの規則 Internet Explorer のセキュリティゾーン毎に許可または拒否が可能

 

 

ソフトウェア制限ポリシーは、許可するホワイトリスト型と、許可しないブラックリスト型の両方に対応しています。よりセキュアに設定する場合ホワイトリスト型で設計すると良いでしょう。ソフトウェア制限ポリシーではデフォルトではブラックリスト型になります。

 

 

 

スポンサーリンク

ルールを作成する

 

 

以下の 2 つのルールを作成して設定しますが、追加のルールでどんどん追加してゆくようなイメージになります。

 

特徴 説明
セキュリティレベル デフォルトの挙動を設定する。

  • 許可しない:アクセス権限に関係なく実行できません。
  • 基本ユーザー:管理者権限が無いユーザーとして実行する。
  • 制限しない:アクセス権限の制限はしない。
追加のルール 上のほうにある 4 つの方法のどれかを使ってソフトウェアを特定します。

  • ハッシュの規則
  • 証明書の規則
  • パスの規則
  • インターネットゾーンの規則

 

 

 

システム要件

 

 

グループポリシーを使うために Active Directory が必要になります。また、以下の Windows をサポートしている事が必要です。

 

  • Windows XP 或いはそれ以上
  • Windows Server 2003 或いはそれ以上

 

 

ソフトウェア制限ポリシーは既に Windows 10 バージョン 1803 から開発を終了しています。Windows 10 バージョン 1803 から完全に動作するかは微妙ですね。Microsoft は今後 AppLocker または Windows Defender Application Control を使うよう勧めています。

 

Features removed or planned for replacement starting with Windows 10, version 1803 | Microsoft

 

 

 

一応ですが AppLocker の記事もありますので、ご参考いただければと思います。

 

【Active Directory】AppLockerとは何か

 

 

 

スポンサーリンク

ソフトウェア制限ポリシーを設定する方法

 

 

以下の記事で紹介しておりますので、ソフトウェア制限ポリシーを設定するにあたって参考にしていただければと思います。

 

【Active Directory】グループポリシーでWindowsストアを無効にする方法

 

 

 

スポンサーリンク

まとめ

 

 

以上になります。いかがでしょうか。ソフトウェア制限ポリシーを使えばアプリケーションの実行やスクリプトの実行を制御する事ができます。

 

 

では最後までお読みいただきありがとうございました!