AppLocker でのパス規則条件について
この記事では、AppLocker パス規則の条件とその長所と短所を適用する方法について説明します。
パス条件は、コンピューターまたはネットワーク上のファイル システム内の場所によってアプリケーションを識別します。
拒否アクションを使用するパス ルールは、ユーザー (またはユーザーとして動作するマルウェア) がファイルを別の場所に簡単にコピーして実行できるため、他の種類のルールよりも効果が低くなります。 パス 規則はファイル システム内の場所を指定するため、管理者以外のユーザーが書き込み可能なサブディレクトリがないことを確認する必要があります。 たとえば、C:\の許可アクションを使用してパスルールを作成した場合、その場所の下にあるファイル (ユーザーのプロファイル内のファイルを含む) を実行できます。 次の表に、パス条件の長所と短所を示します。
| パス条件の利点 | パス条件の欠点 |
|---|---|
AppLocker では、短い名前のパスを指定する規則は適用されません。 パス ルールを作成するときは、規則が適切に適用されるように、常にファイルまたはフォルダーへの完全なパスを指定する必要があります。
アスタリスク (*) ワイルドカード文字は、 Path フィールド内で使用できます。 単独で使用されるアスタリスク (*) 文字は、任意のパスを表します。 任意の文字列値と組み合わせると、規則はファイルのパスとそのパスの下にあるすべてのファイルに制限されます。 たとえば、%ProgramFiles%\Internet エクスプローラー\* は、規則がインターネット エクスプローラー フォルダー内のすべてのファイルとサブフォルダーに影響することを示します。
AppLocker は、Windows の既知のディレクトリにパス変数を使用します。 パス変数は環境変数ではありません。 AppLocker エンジンでは、AppLocker パス変数のみを解釈できます。 次の表では、これらのパス変数の詳細を示します。
| Windows ディレクトリまたはドライブ | AppLocker パス変数 | Windows 環境変数 |
|---|---|---|
| Windows | %WINDIR% | %SystemRoot% |
| System32 と sysWOW64 | %SYSTEM32% | %SystemDirectory% |
| Windows インストール ディレクトリ | %OSDRIVE% | %SystemDrive% |
| プログラム ファイル | %PROGRAMFILES% | %ProgramFiles% と %ProgramFiles(x86)% |
| リムーバブル メディア (CD や DVD など) | %REMOVABLE% | |
| リムーバブル ストレージ デバイス (USB フラッシュ ドライブなど) | %HOT% |
3 種類の AppLocker ルール条件とその長所と短所の概要については、「 AppLocker ルールの条件の種類について」を参照してください。