2011年4月19日火曜日

実行できるアプリケーションを制御する「AppLocker」

 Windows 7から新たに提供されたAppLockerを使用すると、"アプリケーションなどの実行可否を制御する"ことができます。
 組み込み機器では、通常、特定のアプリケーションのみが実行されます。そのため、用途に関係のないアプリケーションや、動作に支障を来す可能性のあるアプリケーションを起動させないようにする必要があります。
AppLockerの設定について
 AppLockerは、"ローカルセキュリティポリシー機能"の1つです。
 スタートメニューの[プログラムとファイルの検索]ボックスで、「gpedit.msc」と入力し、[ローカル グループ ポリシー エディター]を起動してください。
 左ペインにあるツリーの「コンピューターの構成」の項目を以下のように展開していくと(図1)、AppLockerの設定画面を表示することができます。
 AppLockerでは、以下の3種類の規則を設定することができます。
* 実行可能ファイルの規則
* Windows インストーラの規則
* スクリプトの規則

 なお、それぞれの規則の対象となる拡張子を以下に示します。
実行可能ファイル
exe、com
Windows インストーラ
msi、msp
スクリプト
ps1、bat、cmd、vbs、js

 例えば、[実行可能ファイルの規則]では、実行されるアプリケーションが指定フォルダ内に存在するかどうかだけでなく、そのファイルを誰が実行したかといった条件も設定可能で、細やかな実行可否設定ができます。また、それらの条件を複数組み合わせることもできます。実際の設定方法に関しては後述します。
 ただし、特に規則のチェック機構が存在するわけではありませんので、それぞれの設定が矛盾しないように気を付ける必要があります。
 規則を作成したら、[規則の実施の構成]をクリックし、規則のコレクションが実施されるか、監査だけ行うかを設定します。
 上記の設定が完了したら、AppLockerをつかさどる「Application Identity」サービスを起動します。サービスが起動すると設定された規則に基づいて、アプリケーションなどの実行可否が制御されます。

0 件のコメント:

コメントを投稿