ソフトウェアの制限のポリシーの許可/拒否リストおよびアプリケーション インベントリの決定Determine Allow-Deny List and Application Inventory for Software Restriction Policies

適用先:Windows Server 2016 では、Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

IT プロフェッショナル向けのこのトピックでは、Windows Server 2008 および Windows Vista 以降のソフトウェア制限ポリシー (SRP) によって管理されるアプリケーションの許可リストと拒否リストを作成する方法について説明します。This topic for the IT professional gives guidance how to create an allow and deny list for applications to be managed by Software Restriction Policies (SRP) beginning with Windows Server 2008 and Windows Vista.

はじめにIntroduction

ソフトウェアの制限のポリシー (SRP) はグループ ポリシー ベースの機能で、ドメイン内のコンピューターで実行されているソフトウェア プログラムを識別し、これらのプログラムを実行する機能を制御します。Software Restriction Policies (SRP) is Group Policy-based feature that identifies software programs running on computers in a domain, and controls the ability of those programs to run. ソフトウェアの制限のポリシーを使えば、コンピューターの構成に厳格な制限を加え、指定したアプリケーションに限って実行を許可することができます。You use software restriction policies to create a highly restricted configuration for computers, in which you allow only specifically identified applications to run. これらは Microsoft Active Directory Domain Services およびグループポリシーと統合されていますが、スタンドアロンコンピューターで構成することもできます。These are integrated with Microsoft Active Directory Domain Services and Group Policy but can also be configured on stand-alone computers. SRP の開始点については、「 ソフトウェアの制限のポリシー」を参照してください。For a starting point for SRP, see the Software Restriction Policies.

Windows Server 2008 R2 および Windows 7 以降では、アプリケーション制御戦略の一部として、または SRP と連携して Windows AppLocker を使用できます。Beginning with Windows Server 2008 R2 and Windows 7 , Windows AppLocker can be used instead of or in concert with SRP for a portion of your application control strategy.

SRP を使用して特定のタスクを実行する方法については、以下を参照してください。For information about how to accomplish specific tasks using SRP, see the following:

選択する既定の規則: 許可または拒否What default rule to choose: Allow or Deny

ソフトウェアの制限のポリシーは、既定の規則 (許可リストまたは拒否リスト) の基礎となる2つのモードのいずれかで展開できます。Software restriction policies can be deployed in one of two modes that are the basis of your default rule: Allow List or Deny List. 環境内で実行が許可されているすべてのアプリケーションを識別するポリシーを作成できます。ポリシー内の既定の規則は制限されており、明示的に実行を許可していないすべてのアプリケーションはブロックされます。You can create a policy that identifies every application that is allowed to run in your environment; the default rule within your policy is Restricted and will block all applications that you do not explicitly allow to run. または、実行できないすべてのアプリケーションを識別するポリシーを作成することもできます。既定の規則は無制限で、明示的に一覧表示されているアプリケーションのみを制限します。Or you can create a policy that identifies every application that cannot run; the default rule is Unrestricted and restricts only the applications that you have explicitly listed.

重要

拒否リストモードは、アプリケーションの制御に関して、組織にとって高いメンテナンス戦略である可能性があります。The Deny List mode might be a high-maintenance strategy for your organization regarding application control. すべてのマルウェアやその他の問題のあるアプリケーションを禁止する進化したリストを作成して維持することは、時間がかかり、誤りの影響を受ける可能性があります。Creating and maintaining an evolving list that prohibits all malware and other problematic applications would be time consuming and susceptible to mistakes.

許可一覧のアプリケーションのインベントリを作成するCreate an inventory of your applications for the Allow list

既定の許可規則を効果的に使用するには、組織で必要なアプリケーションを正確に特定する必要があります。To effectively use the Allow default rule, you need to determine exactly which applications are required in your organization. Microsoft Application Compatibility Toolkit のインベントリコレクターなど、アプリケーションインベントリを作成するためのツールが用意されています。There are tools designed to produce an application inventory, such as the Inventory Collector in the Microsoft Application Compatibility Toolkit. ただし、SRP には、環境内でどのアプリケーションが実行されているかを正確に把握するのに役立つ高度なログ記録機能があります。But SRP has an advanced logging feature to help you understand exactly what applications are running in your environment.

許可するアプリケーションを検出するにはTo discover which applications to allow
  1. テスト環境で、既定の規則を [無制限] に設定してソフトウェアの制限ポリシーを展開し、追加の規則をすべて削除します。In a test environment, deploy Software Restriction Policy with the default rule set to Unrestricted and remove any additional rules. アプリケーションの制限を強制せずに SRP を有効にすると、SPR は実行されているアプリケーションを監視できるようになります。If you enable SRP without forcing it to restrict any applications, SPR will be able to monitor what applications are being run.

  2. 詳細ログ機能を有効にし、ログファイルを書き込む場所のパスを設定するために、次のレジストリ値を作成します。Create the following registry value in order to enable the advanced logging feature and set the path to where the log file should be written.

    "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers""HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"

    文字列値: LogFileName への LogFileName パスString Value: LogFileName path to LogFileName

    SRP では実行時にすべてのアプリケーションが評価されるため、アプリケーションが実行されるたびに、エントリがログファイルの Namelogfile に書き込まれます。Because SRP is evaluating all applications when they run, an entry is written to the log file NameLogFile each time that application is run.

  3. ログファイルを評価するEvaluate the log file

    各ログエントリの状態は次のとおりです。Each log entry states:

    • ソフトウェアの制限のポリシーの呼び出し元と、呼び出し元のプロセスのプロセス ID (PID)the caller of the software restriction policy and the process ID (PID) of the calling process

    • 評価されるターゲットthe target being evaluated

    • アプリケーションの実行時に発生した SRP 規則the SRP rule that was encountered when that application ran

    • SRP 規則の識別子。an identifier for the SRP rule.

    ログファイルに書き込まれる出力の例を次に示します。An example of the output written to a log file:

explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe 無制限の方法でのパスルール、Guid = {320bd852-aa7c-4674-82c5-9a80321670a3} SRP によってチェックされブロックに設定されるすべてのアプリケーションと関連するコードは、ログファイルに記録されます。その後、許可リストについて考慮する必要がある実行可能ファイルを決定するために使用できます。explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe as Unrestricted usingpath rule, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} All applications and associated code that SRP checks and set to block will be noted in the log file, which you then can use to determine which executables should be considered for your Allowed list.