AppLocker ポリシーの管理

• 適用対象:

  ✅ Windows 11, ✅ Windows 10

この記事では、AppLocker ポリシー内でルールを管理する方法について説明します。

AppLocker の一般的なメンテナンス シナリオは次のとおりです。

• 新しいアプリがデプロイされ、AppLocker ポリシーを更新する必要があります。
• アプリの新しいバージョンが展開され、AppLocker ポリシーを更新するか、新しいルールを作成してポリシーを更新する必要があります。
• アプリはorganizationでサポートされなくなったため、アプリが使用されないようにする必要があります。
• アプリはブロックされているようですが、許可する必要があります。
• アプリは許可されているようですが、ブロックする必要があります。
• 1 人のユーザーまたは少数のユーザーが、ブロックされている特定のアプリを使用する必要があります。

AppLocker ポリシーを維持するために使用できる方法は 3 つあります。

• モバイル デバイス管理 (MDM) を使用した AppLocker ポリシーの管理
• グループ ポリシーを使用した AppLocker ポリシーの管理
• ローカル コンピューターでの AppLocker ポリシーの維持

モバイル デバイス管理 (MDM) を使用した AppLocker ポリシーの管理

AppLocker 構成サービス プロバイダーを使用して、実行を許可またはブロックするアプリを選択できます。 CSP を使用して、グループ化 (EXE、MSI、DLL、ストア アプリなど) に基づいてアプリの制限を構成し、アプリごとに異なるポリシーを適用する方法を選択できます。

詳細については、 AppLocker CSP に関するページを参照してください。

グループ ポリシーを使用した AppLocker ポリシーの管理

すべてのシナリオで、グループ ポリシーによって配布される AppLocker ポリシーを維持する手順には、次のタスクが含まれます。

新しいアプリが展開され、既存のアプリが更新または廃止されると、ポリシーを最新の状態に保つために、グループ ポリシー オブジェクト (GPO) のルールを更新することが必要になる場合があります。

AppLocker ポリシーを編集するには、規則を追加、変更、または削除します。 ただし、より多くの規則をインポートして AppLocker ポリシーのバージョンを指定することはできません。 AppLocker ポリシーを変更するときにバージョン制御を確保するには、バージョンの GPO を作成できる管理ソフトウェアグループ ポリシー使用します。

重要

AppLocker ルール コレクションは、グループ ポリシーで適用されている間は編集しないでください。 AppLocker は実行できるファイルを制御するため、ライブ ポリシーを変更すると予期しない動作が発生する可能性があります。

手順 1: GPO からのポリシーの現在の動作を理解する

ポリシーを変更する前に、ポリシーの現在の実装方法を評価します。 たとえば、新しいバージョンのアプリケーションがデプロイされている場合は、 Test-AppLockerPolicy を使用して、そのアプリの現在のポリシーの有効性を確認できます。

手順 2: GPO から AppLocker ポリシーをエクスポートする

運用環境で現在適用されている AppLocker ポリシーを更新すると、意図しない結果になる可能性があります。 したがって、GPO からポリシーをエクスポートし、AppLocker 参照またはテスト コンピューターで AppLocker を使用して規則または規則を更新します。 変更のために AppLocker ポリシーを準備するには、「 GPO から AppLocker ポリシーをエクスポートする」を参照してください。

手順 3: 適切な AppLocker 規則を編集して AppLocker ポリシーを更新する

APPLocker ポリシーを GPO から AppLocker 参照コンピューターまたはテスト コンピューターにエクスポートするか、ローカル コンピューターのポリシーにアクセスした後、必要に応じて規則を変更できます。

AppLocker 規則を変更するには、次の記事を参照してください。

• AppLocker 規則の編集
• Set-ApplockerPolicy または Merge AppLocker ポリシーを手動で使用してAppLocker ポリシーをマージする
• AppLocker 規則の削除
• AppLocker 規則の実施

手順 4: AppLocker ポリシーをテストする

ルールの各コレクションをテストして、ルールが意図したとおりに動作することを確認する必要があります。 (AppLocker ルールはリンクされた GPO から継承されるため、すべてのテスト GPO で同時テストのすべてのルールをデプロイする必要があります)。このテストを実行する手順については、「 AppLocker ポリシーのテストと更新」を参照してください。

手順 5: AppLocker ポリシーを GPO にインポートする

テスト後、実装のために AppLocker ポリシーを GPO にインポートし直します。 変更された AppLocker ポリシーで GPO を更新するには、「 AppLocker ポリシーを GPO にインポートする」を参照してください。

手順 6: 結果のポリシー動作を監視する

ポリシーをデプロイした後、ポリシーの有効性を評価します。

ローカル セキュリティ ポリシー スナップインを使用した AppLocker ポリシーの維持

すべてのシナリオで、ローカル グループ ポリシー エディターまたはローカル セキュリティ ポリシー スナップインを使用して AppLocker ポリシーを維持する手順には、次のタスクが含まれます。

手順 1: ポリシーの現在の動作を理解する

ポリシーを変更する前に、ポリシーの現在の実装方法を評価します。

手順 2: 適切な AppLocker 規則を変更して AppLocker ポリシーを更新する

ルールはコレクションにグループ化され、ポリシー適用設定を適用できます。 既定では、AppLocker ルールでは、ユーザーが許可されていないファイルを開いたり実行したりすることはできません。

AppLocker ルールを変更するには、「 AppLocker の管理」に記載されている適切な記事を参照してください。

手順 3: AppLocker ポリシーをテストする

ルールの各コレクションをテストして、ルールが意図したとおりに動作することを確認する必要があります。 このテストを実行する手順については、「 AppLocker ポリシーのテストと更新」を参照してください。

手順 4: 変更されたルールを使用してポリシーをデプロイする

AppLocker ポリシーをエクスポートしてインポートして、Windows 8 以降を実行している他のコンピューターにポリシーを展開できます。 このタスクを実行するには、「 AppLocker ポリシーを XML ファイルにエクスポートする 」と「 別のコンピューターから AppLocker ポリシーをインポートする」を参照してください。

手順 5: 結果のポリシー動作を監視する

ポリシーをデプロイした後、ポリシーの有効性を評価します。

その他のリソース

• 他の AppLocker ポリシー タスクを実行する手順については、「 AppLocker の管理」を参照してください。