AppLocker の動作確認 - Windowsのチュートリアル

このレッスンでは AppLockerの動作確認について 解説します。 AppLockerでは規則を作成し アプリの実行を許可、 または拒否するための条件を設定します。 その規則は各コンピューターの Application Identityという サービスによって解釈され、 アプリの実行が許可、 または拒否されます。 したがってAppLockerを使用するためには 各コンピューターでこのサービスが 開始されている必要があります。 このサービス自体は Windowsに既定で存在しています。 サービスを開始するには 「コンピューターの管理」、 または「グループポリシー」のいずれかを 使用します。 AppLockerによって アプリの実行が拒否された場合、 このような画面が表示されます。 また同時にイベントログにも 記録されます。 イベントログは、 「イベントビューアー」から展開していくと 参照でき、 どのユーザーがいつ、 どのアプリを実行し それが許可されたか拒否されたかという 結果までを記録します。 AppLockerに関するイベントログは 8000番台のイベントIDで記録されます。 AppLockerの構成後に 想定通りの動きにならない場合、 まずは8001番のイベントログが きちんと記録されてるかを見直すことも 重要なポイントです。 それでは実際の画面で見てみましょう。 このコンピューターでは 実行可能ファイルの規則内に 3つの既定の規則と Everyoneに対する Media Playerの実行拒否の規則が 作成されています。 これから Application Identityサービスを開始し、 Media Playerの実行が拒否されることを 確認します。 サービスを開始するために まず「コンピューターの管理」 というツールを開き、 Application Identityサービスを 開始します。 サービスを開始できたら 念のためAppLocker規則が適用できたことを イベントログで確認します。 今回は実行可能ファイルの規則を 使用しているため、 「EXE and DLL」の中で 8001のIDのイベントログが 記録されてることを確認します。 もしイベントログに記録されていない場合は 構成の見直しや グループポリシーの更新などを行うと よいでしょう。…