悩み多き文教市場のインフラ屋さん

らくがきちょう。日々取組んでみた事や気になった事。何気ない日常の事など。

AppLockerについて

leave a comment »


AppLockerについて以前資料にしたものを掲載します。

Applockerとはグループポリシー(ローカルグループポリシー)で制御できるポリシーベースの

“ソフトウェア制限のポリシー”や”指定されたWindowsアプリケーションを実行しない”を

さらに使いやすく強力にした『強化されたソフトウェア制限のポリシー』です。

“許可””拒否””例外”の3種類の規則に基づいて、アプリケーションを制御する事ができます。

アプリケーションのデジタル署名の情報からバージョンや発行元などの情報を使用して

動作を制御をする事ができます。

定義の仕方はメニューに沿って指定するだけなので、非常に簡単です。

制御の適用先にグループやユーザーを指定する事ができます。

これは非常に便利ではないでしょうか。

Active DirectoryでOUやグループの設計をしっかりおこなってグループポリシーを活用すると

管理や運用の幅が広がると思います。(Windows7単独でも利用可能です。)

文教市場での運用について、授業ごとやグループごと、時間や日にちなどでポリシーを

切り替えてあげる事で、簡単に思った通りの管理・運用が可能になると思います。

“指定されたWindowsアプリケーションを実行しない”のポリシーだと設定は簡単ですが、

コマンドでアプリケーションを実行させると起動してしまったりと、他のポリシーだと”ぬけ穴”が

どうしても出来てしまいます。

その点、AppLockerは非常に強力な制御をかける事ができます。

“Program files”フォルダー意外にインストールしたアプリケーションについても制御が可能です。

例えば、”Program files”(その他のフォルダーにインストールしたアプリケーションンも含む)

にインストールされたアプリケーションすべてを実行できないようにして、例外に実行できる

アプリケーションを登録してしまうと、基本はアプリケーションが全く実行されない環境を作り

上げる事も簡単にできます。

かなり簡単に仕組みを作り上げる事ができる事も魅力の一つと言えると思います。

掲載した資料と、以前ご紹介した操作手順を参考にしてみてください。

製品版でどの様に実装されたのかが楽しみです。

運用に関して注意点ですが、Windows7RCでは標準でAppLockeを使用する為に必要な

サービス”Applicatin Identity”が無効になっていました。このサービスを起動していないと

AppLockerは使用できません。

また、AppLockerで使用する環境変数名が変更になっています。

例えば、Windowsについて%SystemRoot%が%WINDIR%などです。

資料に一部掲載しましたので参考になればと思います。

AppLocker_ページ_01 AppLocker_ページ_02

AppLocker_ページ_03 AppLocker_ページ_04

AppLocker_ページ_05 AppLocker_ページ_06

AppLocker_ページ_07 AppLocker_ページ_08

<参考A>

参考A

<参考1>                         <参考2>

参考1 参考2

<参考3>                         <参考4>

参考3 参考4

<参考5>                         

参考5

Written by infra20th

2009年7月25日 @ 15:33

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。