AppLocker での発行元規則条件について
このトピックでは、AppLocker での発行元規則条件、使用可能な制御、および適用方法について説明します。
発行元の条件は、デジタル署名されたファイルに対してのみ作成できます。この条件は、デジタル署名と拡張属性に基づいてアプリを識別します。デジタル署名には、アプリを作成した会社 (発行元) に関する情報が含まれます。バイナリ リソースから取得される拡張属性には、そのアプリを含んでいる製品の名前と、アプリのバージョン番号が含まれます。発行元は、Microsoft などのソフトウェア開発会社、または組織の情報技術部門です。
発行元条件は、ファイル ハッシュ条件より管理が容易で、一般にパス条件より安全です。ファイルの新しいバージョンがリリースされたときは、バージョン レベルに対して指定されている規則の更新が必要になる場合があります。次の表に、発行元条件の長所と短所を示します。
発行元条件の長所 | 発行元条件の短所 |
---|---|
|
|
ワイルドカード文字は、次の仕様に従って、発行元規則のフィールドの値として使用できます。
発行元
単独で使用されるアスタリスク (*) 文字は、任意の発行元を表します。他の文字列値と組み合わせた場合、規則は、署名入り証明書内でその文字列に一致する値を持つ発行元に制限されます。つまり、このフィールドで他の文字と組み合わされたアスタリスクは、ワイルドカード文字として扱われません。たとえば、文字列 "M*" を使用すると、発行元名は名前が "M*" の発行元だけに制限されます。文字列 "*x*" を使用すると、発行元名は名前 "*x*" だけに制限されます。このフィールドでは、疑問符 (?) は有効なワイルドカード文字ではありません。
製品名
単独で使用されるアスタリスク (*) 文字は、任意の製品名を表します。他の文字列値と組み合わせた場合、規則は、署名入り証明書内でその文字列に一致するの値を持つ発行元の製品に制限されます。つまり、このフィールドで他の文字と組み合わされたアスタリスクは、ワイルドカード文字として扱われません。このフィールドでは、疑問符 (?) は有効なワイルドカード文字ではありません。
ファイル名
単独で使用されるアスタリスク (*) または疑問符 (?) は、あらゆるファイル名を表します。他の文字列値と組み合わせた場合、文字列は、その文字列を含む任意のファイル名と一致します。
ファイル バージョン
単独で使用されるアスタリスク (*) 文字は、任意のファイル バージョンを表します。ファイル バージョンを特定のバージョン、またはあるバージョン以降あるいは以前に制限する場合は、ファイルのバージョンを指定した後、次のオプションを使って制限を適用します。
対象バージョン。このバージョンのアプリにのみ、規則が適用されます。
以上。このバージョン以降のすべてのバージョンに、規則が適用されます。
以下。このバージョン以前のすべてのバージョンに、規則が適用されます。
次の表では、発行元の条件がどのように適用されるかを示します。
オプション | 発行元の条件により許可または拒否されるオブジェクト |
---|---|
署名されたすべてのファイル |
発行元によって署名されているすべてのファイル。 |
発行元のみ |
指定の発行元によって署名されているすべてのファイル。 |
発行元と製品名 |
指定の発行元によって署名されている、指定された製品に関するすべてのファイル。 |
発行元、製品名、およびファイル名 |
発行元によって署名されている、指定された製品の指定されたファイルのすべてのバージョン。 |
発行元、製品名、ファイル名、およびファイル バージョン |
対象バージョン 発行元によって署名されている、指定された製品の指定されたファイルの指定されたバージョン。 |
発行元、製品名、ファイル名、およびファイル バージョン |
以上 発行元によって署名されている製品の、指定されたファイルの指定されたバージョンと、そのバージョンより後のすべてのリリース。 |
発行元、製品名、ファイル名、およびファイル バージョン |
以下 発行元によって署名されている製品の、指定されたファイルの指定されたバージョンと、そのバージョンより前のすべてのリリース。 |
カスタム |
[発行元]、[製品名]、[ファイル名]、[バージョン] の各フィールドを編集して、カスタムの規則を作成できます。 |
AppLocker の 3 種類の規則条件の概要、およびそれぞれの長所と短所については、「AppLocker 規則条件の種類について」をご覧ください。