悩み多き文教市場のインフラ屋さん

らくがきちょう。日々取組んでみた事や気になった事。何気ない日常の事など。

Posts Tagged ‘AppLocker

AppLockerについて

leave a comment »


AppLockerについて以前資料にしたものを掲載します。

Applockerとはグループポリシー(ローカルグループポリシー)で制御できるポリシーベースの

“ソフトウェア制限のポリシー”や”指定されたWindowsアプリケーションを実行しない”を

さらに使いやすく強力にした『強化されたソフトウェア制限のポリシー』です。

“許可””拒否””例外”の3種類の規則に基づいて、アプリケーションを制御する事ができます。

アプリケーションのデジタル署名の情報からバージョンや発行元などの情報を使用して

動作を制御をする事ができます。

定義の仕方はメニューに沿って指定するだけなので、非常に簡単です。

制御の適用先にグループやユーザーを指定する事ができます。

これは非常に便利ではないでしょうか。

Active DirectoryでOUやグループの設計をしっかりおこなってグループポリシーを活用すると

管理や運用の幅が広がると思います。(Windows7単独でも利用可能です。)

文教市場での運用について、授業ごとやグループごと、時間や日にちなどでポリシーを

切り替えてあげる事で、簡単に思った通りの管理・運用が可能になると思います。

“指定されたWindowsアプリケーションを実行しない”のポリシーだと設定は簡単ですが、

コマンドでアプリケーションを実行させると起動してしまったりと、他のポリシーだと”ぬけ穴”が

どうしても出来てしまいます。

その点、AppLockerは非常に強力な制御をかける事ができます。

“Program files”フォルダー意外にインストールしたアプリケーションについても制御が可能です。

例えば、”Program files”(その他のフォルダーにインストールしたアプリケーションンも含む)

にインストールされたアプリケーションすべてを実行できないようにして、例外に実行できる

アプリケーションを登録してしまうと、基本はアプリケーションが全く実行されない環境を作り

上げる事も簡単にできます。

かなり簡単に仕組みを作り上げる事ができる事も魅力の一つと言えると思います。

掲載した資料と、以前ご紹介した操作手順を参考にしてみてください。

製品版でどの様に実装されたのかが楽しみです。

運用に関して注意点ですが、Windows7RCでは標準でAppLockeを使用する為に必要な

サービス”Applicatin Identity”が無効になっていました。このサービスを起動していないと

AppLockerは使用できません。

また、AppLockerで使用する環境変数名が変更になっています。

例えば、Windowsについて%SystemRoot%が%WINDIR%などです。

資料に一部掲載しましたので参考になればと思います。

AppLocker_ページ_01 AppLocker_ページ_02

AppLocker_ページ_03 AppLocker_ページ_04

AppLocker_ページ_05 AppLocker_ページ_06

AppLocker_ページ_07 AppLocker_ページ_08

<参考A>

参考A

<参考1>                         <参考2>

参考1 参考2

<参考3>                         <参考4>

参考3 参考4

<参考5>                         

参考5

Written by infra20th

2009年7月25日 at 15:33

Windows Server 2008 R2,WIndows7 新たに実装されたAppLocker機能

leave a comment »


Windows7及びWindows Server 2008 R2に新しく追加されたソフトウェアを制御するための

グループポリシーです。

Windows7 のクライアントのみでも使用できますが、アプリケーションを制御したいクライアントが

Active Directory に参加している場合は、ドメインのグループポリシーを使用して一括して

制御すると管理が楽です。

Windows7 で AppLocker を使用できる様にサービスの”Application Identity”を開始させます。

スタートアップの種類が”無効”になっている場合は、スタートアップの種類を”自動”に変更させます。

どのような機能か操作をしてみます。事前にドメインが構築されているものとします。

また、ドメイン参加をしているクライアントは Windows7 で制御したいアプリケーションを

インストールしてアプリケーションの実行ファイル場所とファイル名を収集します。

今回は Office 2007 の表計算アプリケーション、エクセル”EXCEL.EXE”を使用します。

サーバーのグループポリシーを操作します。テストしやすい様にOU”AppLocker”を作成します。

サーバーマネージャーの左ペインから機能を選択して展開します。

グループポリシーの管理を選択して展開します。フォレスト→ドメイン

とたどっていくと構築したドメインが表示されます。

その中にOU”Applocker”が表示されているので新たに”AppLocker”という

グループポリシーを作成し、OU”AppLocker”にリンクさせます。

グループポリシーの”AppLocker”を選択して右クリックより編集を選択します。

AL1 AL2

AppLockerのポリシーはコンピューターの構成→ポリシー→Windowsの設定→セキュリティの設定

の中の”アプリケーション制御ポリシー”です。

このアプリケーション制御ポリシーを展開するとAppLockerという項目が表示されます。

AL3 AL4

AppLockerを選択して展開して実行可能ファイルの規則を選択します。

右クリックして”新しい規則の作成”を選択します。

実行可能ファイルの規則が起動し開始する前にの画面が表示されます。

『次へ』のボタンを押します。

AL5  AL6

“アクセス許可”画面が表示されます。許可を選択してラジオボタンをオンにします。

ユーザーまたはグループについてはEveroneのままで『次へ』のボタンを押します。

“条件”画面が表示されます。

発行元を選択してラジオボタンをオンにします。

『次へ』のボタンを押します。

 AL7 AL8

“発行元”画面が表示されます。参照ファイルを収集しておいた”EXCEL.EXE”を指定します。

『参照』ボタンをおしてファイルを指定します。

“カスタム値”のチェックボックスをオンしします。ファイルのバージョンのプルダウンメニューから

“以上”を選択します。『次へ』のボタンを押します。

“例外”画面が表示されます。『次へ』のボタンを押します。

AL9  AL10

“名前と説明”画面が表示されます。『作成』ボタンを押します。

“既定の規則を今すぐ作成しますか?”とメッセージが表示されるので『はい』ボタンを押します。

AL11 AL12

実行可能ファイルの規則に4つの規則が作成されました。

名前に(既定の規則)と表示あるものが既定の規則のポリシーとなります。

AL13

作成したポリシーは選択し右クリックしてメニューよりプロパティーを選択し内容を確認・変更できます。

AL14

このポリシーではExcelは正しく起動してしまうので、全般タブの”Action:”を拒否を選択して

ラジオボタンをオンにした後、『適用』ボタンを押すとExcelの起動が拒否されます。

AL15 AL16

AL17 

まずは操作についてでした。

Written by infra20th

2009年7月24日 at 14:14

%d人のブロガーが「いいね」をつけました。