ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Windows10 AppLocker セキュリティグループ、ユーザー毎にアプリケーションの実行制限

会社のパソコンでアプリケーションを勝手に実行されないように制御したい場合があると思います。その場合は、 AppLocker かソフトウェアの制限ポリシーが利用できますが、両方とも同じような機能のようで、実現したい内容によって使い分けが発生します。

 

ソフトウェアの制限ポリシーは端末にログインするユーザーすべて同じ制限になる為、セキュリティグループ、ユーザー毎にアプリケーションの実行制限をしたい場合は、AppLockerを使用することになります。

 

参考になるマイクロソフトの情報はこちらになります。

AppLocker とは (Windows 10) - Windows security | Microsoft Docs

 

以下は抜粋です。

 

AppLocker は、ソフトウェア制限ポリシーのアプリ制御機能と機能を利用できます。 AppLocker には、ファイルの一意の ID に基づいてアプリが実行または禁止されるルールを作成し、それらのアプリを実行できるユーザーまたはグループを指定できる新しい機能と拡張機能が含まれています。

 

 

AppLocker を使用すると、次のことができます。

 

・実行可能ファイル (.exe および .com)、スクリプト (.js、.ps1、.vbs、.cmd、.bat)、Windows インストーラー ファイル (.mst、.msi および .msp)、パッケージ化されたアプリおよびパッケージ化されたアプリインストーラー (.dll および .ocx)、パッケージ化されたアプリおよびパッケージ化されたアプリ インストーラー (.appx) など、アプリの種類を制御します。

・デジタル署名から取得したファイル属性に基づくルールを定義します。パブリッシャー、製品名、ファイル名、ファイル バージョンなどが含まれます。 たとえば、更新によって永続的なパブリッシャー属性に基づいてルールを作成したり、ファイルの特定のバージョンに対するルールを作成したりできます。

・セキュリティ グループまたは個々のユーザーに規則を割り当てます。

・規則の例外を作成します。 たとえば、レジストリ エディター (開く) を除くすべての Windows プロセスが実行されることを許可するルールRegedit.exe。

・ポリシーの展開には監査のみのモードを使用して、適用する前に影響を把握します。

・ルールをインポートおよびエクスポートします。 インポートとエクスポートはポリシー全体に影響を与えます。 たとえば、ポリシーをエクスポートした場合、ルール コレクションの適用設定を含め、すべてのルール コレクションのすべてのルールがエクスポートされます。 ポリシーをインポートする場合、既存のポリシーのすべての条件が上書きされます。

・クレットを使用して AppLocker ルールの作成と管理を効 Windows PowerShell率化します。

 

ユーザーごとに異なるポリシーの欄を見ると、以下のようにあります。

 

ソフトウェア制限ポリシー (SRP) 

ルールは、特定のデバイス上のすべてのユーザーにのみ適用されます。

 

AppLocker

ルールは、特定のデバイス上のすべてのユーザーにのみ適用されます。 複数のユーザーによって共有されているデバイスでは、管理者はインストール済みソフトウェアにアクセスできるユーザーのグループを指定できます。 AppLocker を使用して、管理者は特定のルールを適用するユーザーを指定できます。

 

PC単位でよければソフトウェア制限ポリシー (SRP) 、ユーザー毎に細やかに設定したい場合は、AppLockerを使用します。

 

実際に利用したことがないので、検証環境で動作確認を実施してみたいと思います。