AppLocker ポリシーのテストと更新
この記事では、展開前に AppLocker ポリシーをテストするために必要な手順について説明します。
ルールの各セットをテストして、ルールが意図したとおりに動作することを確認する必要があります。 グループ ポリシーを使用して AppLocker ポリシーを管理する場合は、AppLocker 規則を含むグループ ポリシー オブジェクト (GPO) ごとに次の手順を実行します。 AppLocker ルールはリンクされた GPO から継承されるため、すべてのテスト GPO で同時テストのすべてのルールをデプロイする必要があります。
手順 1: 監査のみの適用設定を有効にする
[監査のみの適用モード] 設定を使用して、AppLocker 規則がコードをブロックすることなく、organizationに対して適切に構成されていることを確認します。 この設定は、[AppLocker のプロパティ] ダイアログ ボックスの [適用] タブで有効にすることができます。 この構成を行う手順については、「 監査専用の AppLocker ポリシーを構成する」を参照してください。
手順 2: 自動的に開始されるようにアプリケーション ID サービスを構成する
AppLocker はアプリケーション ID サービスを使用してファイルの属性を確認するため、AppLocker 規則を適用する任意の GPO で自動的に開始するように構成する必要があります。 詳細については、「 アプリケーション ID サービスを構成する」を参照してください。 GPO を使用して AppLocker ポリシーを展開しない場合は、ポリシーを適用するために、サービスが各 PC で実行されていることを確認する必要があります。
手順 3: ポリシーをテストする
AppLocker ポリシーをテストして、ルール コレクションを変更する必要があるかどうかを判断します。 AppLocker ポリシーは、AppLocker ポリシーを受け取るために構成されたすべてのクライアント PC でのみ監査モードでアクティブにする必要があります。
Test-AppLockerPolicy Windows PowerShell コマンドレットを使用して、参照 PC で実行されるコードのいずれかがルール コレクション内のルールによってブロックされているかどうかを判断できます。 このテストを実行する手順については、「 Test-AppLockerPolicy を使用して AppLocker ポリシーをテストする」を参照してください。
手順 4: AppLocker イベントを分析する
AppLocker イベントを手動で分析するか、Get-AppLockerFileInformation Windows PowerShell コマンドレットを使用して分析を自動化できます。
AppLocker イベントを手動で分析するには
イベント ビューアーまたはテキスト エディターを使用して、分析のために AppLocker イベントを表示および並べ替えます。 アプリケーションの使用状況イベント、アクセス頻度、またはユーザー グループによるアクセスのパターンを探す場合があります。 イベント サブスクリプションが構成されていない場合は、organization内のコンピューターのサンプリングに関するログを確認できます。 イベント ビューアーの使用の詳細については、「AppLocker でアプリケーションの使用状況を監視する」を参照してください。
Get-AppLockerFileInformation を使用して AppLocker イベントを分析するには
Get-AppLockerFileInformation Windows PowerShell コマンドレットを使用して、リモート コンピューターから AppLocker イベントを分析できます。 アプリがブロックされていて、許可する必要がある場合は、AppLocker コマンドレットを使用して問題のトラブルシューティングに役立てることができます。
イベント サブスクリプションとローカル イベントの両方で、 Get-AppLockerFileInformation コマンドレットを使用して、ポリシーで許可されていないファイルと、各ファイルに対してイベントが発生した回数を判断できます。 この監視を行う手順については、「 AppLocker を使用したアプリケーション使用状況の監視」を参照してください。
次に、ルールリストを確認して、ブロックされたファイルに対して新しいルールを作成する必要があるかどうか、または既存のルールが厳密に定義されすぎるかどうかを判断する必要があります。 ファイルの実行を現在妨げている GPO をチェックしていることを確認します。 このブロック GPO を特定するには、グループ ポリシー結果ウィザードを使用してルール名を表示できます。
手順 5: AppLocker ポリシーを変更する
ポリシーを編集または追加するルールがわかったら、グループ ポリシー管理コンソールを使用して、関連する GPO の AppLocker 規則を変更します。 GPO で AppLocker ポリシーを管理しない場合は、ローカル セキュリティ ポリシー スナップイン (secpol.msc) を使用できます。 AppLocker ポリシーを変更する方法については、「 AppLocker ポリシーを編集する」を参照してください。
手順 6: ポリシー のテスト、分析、ポリシーの変更を繰り返す
適用を適用する前に、すべてのルールが意図したとおりに実行されるまで、前の手順 3 から 5 を繰り返します。
その他のリソース
- 他の AppLocker ポリシー タスクを実行する手順については、「 AppLocker の管理」を参照してください。