このチュートリアルでは、Windows 2012サーバーでグループポリシーアプリケーションロッカーを構成する方法を説明します。

このチュートリアルでは、すべてのアプリケーションのインストールまたは実行をブロックする方法を説明します。

このチュートリアルでは、特定のアプリケーションを実行する方法を説明します。

これは、ISO 27001のような国際的な情報セキュリティ認証に準拠しているコンピュータ環境に役立ちます。

ドメインコントローラはWindows 2012 R2を実行しています。

ドメインコンピュータはWindows 7とWindows 10を実行しています。

アプリケーションロッカーは、Windows EnterpriseまたはUltimateエディションで動作します。

アプリケーションロッカーは、Windowsのプロフェッショナル版では動作しません。

ハードウェアリスト:

次のセクションでは、このWindowsチュートリアルを作成するために使用される機器のリストを示します。

上記の各ハードウェアは、AmazonのWebサイトにあります。

Windows Playlist:

このページでは、Windowsに関連するビデオの一覧にすばやくアクセスできます。

私たちのYouTubeチャンネルに登録することを忘れないでください FKIT.

Windows関連のチュートリアル:

このページでは、Windowsに関連するチュートリアルの一覧にすばやくアクセスできます。

チュートリアル – アプリケーションロッカーGPOの作成

Active Directoryを使用してWindows 2012 R2を実行しているドメインコントローラで、次のタスクが実行されました。

[スタート]メニューをクリックし、グループポリシー管理ツールを見つけて開きます。

[グループポリシーの管理]画面で、[グループポリシーオブジェクト]という名前のフォルダを探します。

[グループポリシーオブジェクト]フォルダを右クリックし、[新規]オプションを選択します。

新しいポリシーの名前を入力します。

この例では、新しいGPOの名前は「ソフトウェアポリシー」です。

[グループポリシーの管理]画面で、[グループポリシーオブジェクト]という名前のフォルダを展開します。

新しいグループポリシーオブジェクトを右クリックし、[編集]オプションを選択します。

グループポリシーエディタ画面では、ユーザー構成とコンピューター構成が表示されます。

コンピュータの設定のみを変更します。

ユーザー設定を変更する必要はありません。

まず、アプリケーションIDという名前のWindowsサービスを自動的に開始するように設定する必要があります。

グループポリシーエディタ画面で、コンピュータの構成フォルダを展開し、次の項目を探します。

•コンピュータの設定> Windowsの設定>セキュリティの設定>システムサービス

右側に、Windows用の利用可能なサービスの一覧が表示されます。

「アプリケーションID」という名前の構成項目をダブルクリックします。

設定項目画面で、自動オプションを選択する必要があります。

アプリケーションロッカーが動作するためには、ドメインコンピュータはアプリケーションIDサービスを実行する必要があります。

チュートリアル – アプリケーションロッカーGPOの設定

グループポリシーエディタ画面で、コンピュータの構成フォルダを展開し、次の項目を探します。

•コンピュータの構成> Windowsの設定>セキュリティの設定>アプリケーション制御のポリシー> AppLocker

右側に、アプリケーションロッカーポリシーで使用できる設定項目が表示されます。

Configure Rule Enforcementという名前の構成項目をクリックします。

Applockerのプロパティウィンドウが表示されます。

実行可能ファイルのルールを有効にし、[ルールを強制する]オプションを選択します。

Windows Installerルールを有効にし、[ルールを強制する]オプションを選択します。

パッケージ化されたアプリケーションルールを有効にし、[ルールを強制する]オプションを選択します。

[OK]ボタンをクリックします。

次に、デフォルトのソフトウェアルールを作成する必要があります。

Executables Rulesポリシーを右クリックし、[Create default rules]オプションを選択します。

グループポリシーの作成を終了するには、グループポリシーエディタウィンドウを閉じる必要があります。

グループポリシーウィンドウを閉じるときだけ、システムは設定を保存します。

実行可能なデフォルトルールは、次のように記述します。

Windowsフォルダ内のすべてのEXEファイルを実行することができます。

Program filesフォルダ内のすべてのEXEファイルが実行されます。

Administratorsグループのメンバーは、任意のEXEファイルを実行できます。

別のアプリケーションを承認するには、実行可能ファイルのルールを右クリックし、[新しいルールを作成する]オプションを選択します。

Windowsインストーラのルールを右クリックし、[デフォルトルールを作成する]オプションを選択します。

別のアプリケーションを承認するには、Windowsインストーラのルールを右クリックし、[新しいルールを作成する]オプションを選択します。

Package Appルールを右クリックし、Create default rulesオプションを選択します。

グループポリシーの作成を終了するには、グループポリシーエディタウィンドウを閉じる必要があります。

グループポリシーウィンドウを閉じるときだけ、システムは設定を保存します。

チュートリアル – アプリケーションロッカーGPOの適用

アプリケーションロッカーGPOの作成が完了しました。

ただし、新しいグループポリシーを有効にする必要があります。

グループポリシー管理画面で、目的の組織単位を右クリックし、既存のGPOをリンクするオプションを選択する必要があります。

この例では、SOFTWARE POLICYというグループポリシーをTECH.LOCALという名前のドメインのルートにリンクします。

GPOを適用した後、10分または20分待つ必要があります。

この間、GPOは他のドメインコントローラにレプリケートされます。

20分待ってから、ユーザーのコンピュータを再起動する必要があります。

起動時に、コンピュータは新しいグループポリシーのコピーを取得して適用します。

設定をテストするには、ドメインコンピュータにログインし、ソフトウェアをダウンロードして実行する必要があります。

コンピュータは、GPOで特に許可されていないアプリケーションを自動的にブロックする必要があります。