AppLocker 参照デバイスの構成

IT プロフェッショナル向けのこの記事では、参照コンピューターに AppLocker ポリシー プラットフォーム構造を作成する手順について説明します。

AppLocker ポリシーの開発と展開に使用される AppLocker 参照デバイスは、運用環境の組織単位 (OU) またはビジネス グループ内のディレクトリ構造と対応するアプリケーションを模倣する必要があります。 参照デバイスでは、次のことができます。

• 各ビジネス グループのアプリケーション一覧を管理します。
• 個々のルールを作成するか、ルールを自動的に生成してポリシーを作成することで、AppLocker ポリシーを開発します。
• Windows システム ファイルを正常に実行できるように、既定の規則を作成します。
• テストを実行し、イベント ログを分析して、展開するポリシーの効果を判断します。

参照デバイスをドメインに参加させる必要はありませんが、AppLocker ポリシーを XML 形式でインポートおよびエクスポートできる必要があります。 参照コンピューターは、「 AppLocker を使用するための要件」に記載されている Windows のサポートされているエディションの 1 つを実行している必要があります。

Warning

AppLocker ルールの作成時にオペレーティング システムスナップショットを使用しないでください。 オペレーティング システムのスナップショットを実行し、アプリをインストールし、AppLocker ルールを作成した後、クリーン スナップショットに戻して別のアプリのプロセスを繰り返すと、ルール GUID が重複して作成される可能性があります。 重複する GUID が存在する場合、AppLocker ポリシーは期待どおりに機能しません。

参照デバイスを構成するには

1. オペレーティング システムがまだインストールされていない場合は、サポートされているいずれかのエディションの Windows をデバイスにインストールします。

   手記：AppLocker ポリシーの実装をテストするために別のデバイスにグループ ポリシー管理コンソール (GPMC) がインストールされている場合は、そのデバイスにポリシーをエクスポートできます。

2. 管理者アカウントを構成します。

   ローカル ポリシーを更新するには、ローカル管理者グループのメンバーである必要があります。 ドメイン ポリシーを更新するには、Domain Admins グループのメンバーであるか、グループ ポリシーを使用してグループ ポリシー オブジェクト (GPO) を更新するための委任された特権を持っている必要があります。

3. 同じディレクトリ構造を使用して、対象となるビジネス グループまたは OU で実行されるすべてのアプリをインストールします。

   参照デバイスは、運用環境の構造を模倣するように構成する必要があります。 ルールを正確に作成するには、同じディレクトリに同じアプリを含める必要があります。

関連項目

• 参照コンピューターを構成したら、AppLocker 規則コレクションを作成できます。 ルールをビルド、インポート、または自動的に生成できます。 このタスクを実行する手順については、「 AppLocker ルールの操作」を参照してください。
• 参照デバイスを使用した AppLocker ポリシーの作成および管理