AppLocker での発行元規則条件について
この記事では、AppLocker 発行元ルールの条件と使用可能なコントロールを適用する方法について説明します。
発行元の条件は、デジタル署名されたファイルに対してのみ行うことができます。 この条件は、デジタル署名と拡張属性に基づいてアプリのファイルを識別します。 デジタル署名には、アプリを作成した会社 (発行元) に関する情報が含まれています。 バイナリ リソースから取得される拡張属性には、アプリの一部である製品の名前とアプリのバージョン番号が含まれます。 発行元は、Microsoft などのソフトウェア開発会社、またはorganizationの情報技術部門である場合があります。 発行元の条件は、ファイル ハッシュ条件よりも保守が容易で、パス条件よりも安全です。 新しいバージョンのファイルがリリースされたときに、バージョン レベルに指定されたルールを更新する必要がある場合があります。 次の表に、発行元の条件の長所と短所を示します。
| パブリッシャー条件の利点 | 発行元の条件の欠点 |
|---|---|
ワイルドカード文字は、次の仕様に従って、発行元ルール フィールドの値として使用できます。
Publisher
単独で使用されるアスタリスク (*) 文字は、任意の発行元を表します。 任意の文字列値と組み合わせると、ルールは、署名された証明書の文字列と一致する値を持つ発行元に制限されます。 つまり、このフィールド内の他の文字と共に使用する場合、アスタリスクはワイルドカード文字として扱われません。 たとえば、文字 "M*" を使用すると、発行元名は "M*" という名前の発行元のみに制限されます。"*x*" 文字を使用すると、発行元名は "*x*" という名前のみに制限されます。疑問符 (?) は、このフィールドの有効なワイルドカード文字ではありません。
製品名
単独で使用されるアスタリスク (*) 文字は、任意の製品名を表します。 任意の文字列値と組み合わせる場合、規則は発行元の製品に限定され、署名された証明書の値は文字列と一致します。 つまり、このフィールド内の他の文字と共に使用する場合、アスタリスクはワイルドカード文字として扱われません。 疑問符 (?) は、このフィールドの有効なワイルドカード文字ではありません。
ファイル名
アスタリスク (*) または疑問符 (?) 文字は、ファイル名を表します。 任意の文字列値と組み合わせると、文字列はその文字列を含む任意のファイル名と一致します。
ファイルのバージョン
単独で使用されるアスタリスク (*) 文字は、任意のファイル バージョンを表します。 ファイルのバージョンを特定のバージョンに制限する場合、または開始点としてファイル のバージョンを指定し、次のオプションを使用して制限を適用できます。
- 正確に。 ルールは、このバージョンのアプリにのみ適用されます
- 以上。 この規則は、このバージョンおよびそれ以降のすべてのバージョンに適用されます。
- 以下に示します。 この規則は、このバージョンと以前のすべてのバージョンに適用されます。
次の表では、パブリッシャー条件の適用方法について説明します。
| オプション | 発行元の条件は、許可または拒否します。... |
|---|---|
| すべての署名済みファイル | 発行元によって署名されたすべてのファイル。 |
| [発行元] のみ | 指定の発行元によって署名されているすべてのファイル。 |
| 発行元と製品名 | 指定した発行元によって署名された指定された製品のすべてのファイル。 |
| 発行元、製品名、およびファイル名 | 名前付き製品の名前付きファイルの任意のバージョン。発行元によって署名されています。 |
| 発行元、製品名、ファイル名、およびファイル バージョン |
その通り 発行元によって署名された名前付き製品の名前付きファイルの指定されたバージョン。 |
| 発行元、製品名、ファイル名、およびファイル バージョン |
以上 指定されたバージョンの名前付きファイルと、発行元によって署名された名前付き製品のファイルのそれ以降のバージョン。 |
| 発行元、製品名、ファイル名、およびファイル バージョン |
次に示す 指定されたバージョンの名前付きファイルと、発行元によって署名された名前付き製品の古いバージョン。 |
| カスタム | [Publisher]、[製品名]、[ファイル名]、[バージョン] の各フィールドを編集して、カスタム ルールを作成できます。 |
3 種類の AppLocker ルール条件とその長所と短所の概要については、「 AppLocker 規則の条件の種類について」を参照してください。