IT 担当者向けのこのトピックでは、Windows Server 2008 および Windows Vista 以降で導入されたソフトウェアの制限のポリシー (SRP) を使用して、アプリケーション制御ポリシーを管理する手順について説明します。
Introduction
ソフトウェアの制限のポリシー (SRP) はグループ ポリシー ベースの機能で、ドメイン内のコンピューターで実行されているソフトウェア プログラムを識別し、これらのプログラムを実行する機能を制御します。 ソフトウェアの制限のポリシーを使えば、コンピューターの構成に厳格な制限を加え、指定したアプリケーションに限って実行を許可することができます。 ソフトウェア制限ポリシーは Active Directory Domain Services とグループ ポリシーに統合されているものの、スタンドアロン コンピューターで構成することも可能です。 SRP の詳細については、「ソフトウェア制限ポリシー」を参照してください。
Windows Server 2008 R2 および Windows 7 より、Windows AppLocker は、アプリケーション制御戦略の一部として SRP の代わりに、または SRP と一緒に使用できます。
このトピックの内容は次のとおりです。
SRP を使用して特定のタスクを実行する方法については、次を参照してください。
ソフトウェアの制限のポリシーを開く方法
ドメイン、サイト、または組織単位の場合で、かつメンバー サーバーまたはドメインに参加しているワークステーションで作業している場合
ドメインまたは組織単位の場合で、かつドメイン コントローラーまたはリモート サーバー管理ツールがインストールされているワークステーションで作業している場合
サイトの場合で、かつドメイン コントローラーまたはリモート サーバー管理ツールがインストールされているワークステーションで作業している場合
ローカル コンピューターの場合
[ローカル セキュリティ設定] を開きます。
コンソール ツリーで、[ソフトウェアの制限のポリシー] をクリックします。
Where?
- セキュリティ設定/ソフトウェアの制限のポリシー
Note
この手順を実行するには、ローカル コンピューターの Administrators グループのメンバーであるか、適切な権限が委任されている必要があります。
ドメイン、サイト、または組織単位の場合で、かつメンバー サーバーまたはドメインに参加しているワークステーションで作業している場合
Microsoft 管理コンソール (MMC) を開きます。
[ ファイル ] メニューの [ スナップインの追加と削除] をクリックし、[ 追加] をクリックします。
[ローカル グループ ポリシー オブジェクト エディター] をクリックし、[追加] をクリックします。
[グループ ポリシー オブジェクトの選択] で、[参照] をクリックします。
[グループ ポリシー オブジェクトの参照] で、適切なドメイン、サイト、または組織単位のグループ ポリシー オブジェクト (GPO) を選択する、または新しいものを作成して、[完了] をクリックします。
[ 閉じる] をクリックし、[OK] をクリック します。
コンソール ツリーで、[ソフトウェアの制限のポリシー] をクリックします。
Where?
グループ ポリシー オブジェクト [コンピューター名] ポリシー/コンピューターの構成、または
ユーザー構成/Windows 設定/セキュリティ設定/ソフトウェアの制限のポリシー
Note
この手順を実行するには、Domain Admins グループのメンバーである必要があります。
ドメインまたは組織単位の場合で、かつドメイン コントローラーまたはリモート サーバー管理ツールがインストールされているワークステーションで作業している場合
[グループ ポリシー管理コンソール] を開きます。
コンソール ツリーで、ソフトウェアの制限のポリシーを開くグループ ポリシー オブジェクト (GPO) を右クリックします。
[ 編集] をクリックして、編集する GPO を開きます。 [ 新規 ] をクリックして新しい GPO を作成し、[ 編集] をクリックすることもできます。
コンソール ツリーで、[ソフトウェアの制限のポリシー] をクリックします。
Where?
グループ ポリシー オブジェクト [コンピューター名] ポリシー/コンピューターの構成、または
ユーザー構成/Windows 設定/セキュリティ設定/ソフトウェアの制限のポリシー
Note
この手順を実行するには、Domain Admins グループのメンバーである必要があります。
サイトの場合で、かつドメイン コントローラーまたはリモート サーバー管理ツールがインストールされているワークステーションで作業している場合
[グループ ポリシー管理コンソール] を開きます。
コンソール ツリーで、グループ ポリシーを設定するサイトを右クリックします。
Where?
- Active Directory サイトとサービス [Domain_Controller_Name.Domain_Name]/Sites/Site
[グループ ポリシー オブジェクトのリンク] のエントリをクリックして既存のグループ ポリシー オブジェクト (GPO) を選択した後、[編集] をクリックします。 [ 新規 ] をクリックして新しい GPO を作成し、[ 編集] をクリックすることもできます。
コンソール ツリーで、[ソフトウェアの制限のポリシー] をクリックします。
Where
グループ ポリシー オブジェクト [コンピューター名] ポリシー/コンピューターの構成、または
ユーザー構成/Windows 設定/セキュリティ設定/ソフトウェアの制限のポリシー
Note
- この手順を実行するには、ローカル コンピューターの Administrators グループのメンバーであるか、適切な権限が委任されている必要があります。 コンピューターがドメインに追加されると、Domain Admins グループのメンバーは、この手順を実行できる場合があります。
- どのユーザーがログオンするかに関係なく、コンピューターに適用されるポリシー設定を設定するには、[ コンピューターの構成] をクリックします。
- ログオン先のコンピューターに関係なく、ユーザーに適用されるポリシー設定を設定するには、[ ユーザー構成] をクリックします。
ソフトウェアの制限のポリシーを新規作成する方法
[ソフトウェアの制限のポリシー] を開きます。
[ アクション ] メニューの [ 新しいソフトウェア制限ポリシー] をクリックします。
Warning
この手順の実行にあたっては、環境に応じて異なる管理者資格情報が必要になります。
- ローカル コンピューターの新しいソフトウェア制限ポリシーを作成する場合: この手順を完了するために必要な最低限の手順は、ローカル 管理者 グループのメンバーシップ、またはそれと同等です。
- ドメインに参加しているコンピューターについてソフトウェアの制限のポリシーを新規作成する場合には、Domain Admins グループのメンバーのみこの手順を実行できます。
グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーが作成済みである場合には、[操作] メニューに [新しいソフトウェアの制限のポリシー] コマンドが表示されません。 GPO に適用されているソフトウェアの制限のポリシーを削除するには、[ソフトウェアの制限のポリシー] を右クリックし、[ソフトウェアの制限のポリシーを削除する] をクリックします。 GPO のソフトウェアの制限のポリシーを削除すると、その GPO に設定されているソフトウェアの制限のポリシーの規則もすべて削除されます。 ソフトウェアの制限のポリシーを削除した後には、その GPO についてソフトウェアの制限のポリシーを新規作成できます。
指定したファイルの種類を追加または削除する方法
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[指定されたファイルの種類] をダブルクリックします。
次のいずれかを実行します:
ファイルの種類を追加するには、[ファイル名拡張子] でファイル名拡張子を入力し、[追加] をクリックします。
ファイルの種類を削除するには、[指定されたファイルの種類] でファイルの種類をクリックしてから、[削除] をクリックします。
Note
この手順の実行にあたっては、指定したファイルの種類を追加または削除する環境に応じて異なる管理者資格情報が必要になります。
- ローカル コンピューターの指定されたファイルの種類を追加または削除する場合: この手順を完了するために必要な最小要件は、ローカル Administrators グループのメンバーシップ、またはそれと同等です。
- ドメインに参加しているコンピューターについてソフトウェアの制限のポリシーを新規作成する場合には、Domain Admins グループのメンバーのみこの手順を実行できます。
グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
ファイルの種類の指定内容は、GPO のコンピューターの構成およびユーザーの構成の規則すべてに共有されます。
ソフトウェアの制限のポリシーをローカルの管理者に適用しないようにする方法
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[ 強制] をダブルクリックします。
[ソフトウェアの制限のポリシーの適用ユーザー] で、[ローカル管理者を除くすべてのユーザー] をクリックします。
Warning
- この手順を完了するには、ローカル の Administrators グループまたは同等のメンバーシップが最低限必要です。
- グループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
- ユーザーが組織内にあるコンピューターのローカル Administrators グループのメンバーになることが普通である場合には、このオプションを有効にしないこともあります。
- ローカル コンピューターに対してソフトウェアの制限のポリシーの設定を定義するときには、この手順を実行するとローカル管理者にソフトウェアの制限のポリシーが適用されなくなります。 ネットワークに対してソフトウェアの制限のポリシー設定を定義するときには、グループ ポリシーを使用してセキュリティ グループのメンバーシップを基にポリシー設定をフィルター処理します。
ソフトウェアの制限のポリシーのセキュリティ レベルの既定値を変更する方法
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[ セキュリティ レベル] をダブルクリックします。
既定に設定するセキュリティ レベルを右クリックし、[既定に設定] をクリックします。
Caution
特定のディレクトリでは、既定のセキュリティ レベルを [許可しない] に設定すると、オペレーティング システムに悪影響が及ぼす可能性があります。
Note
- この手順の実行にあたっては、ソフトウェアの制限のポリシーの既定のセキュリティ レベルを変更する環境に応じて異なる管理者資格情報が必要になります。
- このグループ ポリシー オブジェクト (GPO) についてソフトウェアの制限のポリシーの設定を作成していない場合には、この設定の新規作成が必要になることがあります。
- 現在既定値に設定されているセキュリティ レベルは、詳細ウィンドウで黒丸の中にチェック マークを付けて表示されます。 現在既定値に設定されているセキュリティ レベルを右クリックした場合には、メニューに [既定に設定] コマンドは表示されません。
- ソフトウェアの制限のポリシーの規則は、既定のセキュリティ レベルに対する例外を指定するために作成するものです。 既定のセキュリティ レベルが [無制限] に設定されている場合、ルールでは実行が許可されていないソフトウェアを指定できます。 既定のセキュリティ レベルが [許可されていません] に設定されている場合、ルールでは実行を許可するソフトウェアを指定できます。
- インストール時に、システム上のすべてのファイルに対するソフトウェア制限ポリシーのデフォルト・セキュリティー・レベルが 「無制限」に設定されます。
ソフトウェアの制限のポリシーを DLL に適用する方法
[ソフトウェアの制限のポリシー] を開きます。
詳細ウィンドウで、[ 強制] をダブルクリックします。
[ソフトウェアの制限のポリシーの適用ユーザー] で、[ソフトウェアのファイルすべて] をクリックします。
Note
- この手順を実行するには、ローカル コンピューターの Administrators グループのメンバーであるか、適切な権限が委任されている必要があります。 コンピューターがドメインに追加されると、Domain Admins グループのメンバーは、この手順を実行できる場合があります。
- 既定では、ソフトウェアの制限のポリシーによってダイナミック リンク ライブラリ (DLL) がチェックされることはありません。 DLL をチェックする設定にしていると、DLL が読み込まれるたびにソフトウェアの制限のポリシーの評価が必要になるため、システムのパフォーマンスが低下するおそれがあります。 ただし、DLL を標的とするウイルスを受信することが心配であれば、DLL のチェックを有効にすることが考えられます。 既定のセキュリティ レベルが [許可されていません] に設定されていて、DLL チェックを有効にする場合は、各 DLL の実行を許可するソフトウェア制限ポリシー規則を作成する必要があります。