Windows7およびWindowsServer 2008R2でのアプリケーションのホワイトリスト

Windows7およびWindowsServer 2008 R2に含まれているアプリケーション制御機能であるMicrosoftのAppLockerは、Windows XP Professionalで導入されたソフトウェア制限ポリシー(SRP)を改善したものです。AppLockerを使用すると、パス、発行元、製品名、ファイル名、ファイルバージョンなどのファイル属性に基づいて、アプリケーション実行ルールとそれらの例外を定義できます。ポリシーは、Active Directoryを介してコンピューター、ユーザー、セキュリティグループ、および組織単位に割り当てることができます。

レポートはログファイルから取得できるものに制限されており、AppLockerで定義されていないファイルの種類のルールを作成するのは難しい場合があります。ただし、AppLockerの最大の欠点は、Windows 7 Enterprise、Windows 7 Ultimate、およびWindows Server 2008R2クライアントに限定されていることです。Windows 7 Professionalを使用してポリシーを作成できますが、AppLockerを使用してそれ自体にルールを適用することはできません。AppLockerを使用して以前のバージョンのWindowsを管理することはできませんが、Windows XP ProのSRPとAppLockerの両方を同様に構成して、企業全体のポリシーに影響を与えることができます。

[Bit9、CoreTrace、Lumension、McAfee、SignaCert、およびMicrosoftのアプリケーションホワイトリストソリューションのテストセンターレビューをお読みください。これらのアプリケーションホワイトリストソリューションを機能ごとに比較します。]  

AppLockerは、ローカルコンピューターポリシーオブジェクト(gpedit.msc)を使用するか、Active Directoryおよびグループポリシーオブジェクト(GPO)を使用してローカルで構成できます。多くのMicrosoftの最新のActiveDirectory対応テクノロジと同様に、管理者は、AppLockerを定義および管理するために、ドメインに参加しているWindows Server 2008R2またはWindows7コンピューターを少なくとも1台必要とします。 Windows 7コンピューターには、Windows 7のリモートサーバー管理ツール(RSAT)の一部としてグループポリシー管理コンソール機能をインストールする必要があります(無料ダウンロード)。 AppLockerは、組み込みのApplication Identityサービスに依存しています。これは通常、デフォルトで手動起動タイプに設定されています。管理者は、自動的に開始するようにサービスを構成する必要があります。

ローカルまたはグループポリシーオブジェクト内で、AppLockerが有効になり、\ Computer Configuration \ Windows Settings \ Security Settings \ Application ControlPoliciesコンテナ[画面イメージ]で構成されます。

既定では、有効にすると、AppLockerルールは、ユーザーが特に許可されていないファイルを開いたり実行したりすることを許可しません。初めてのテスターは、AppLockerが[デフォルトルールの作成]オプションを使用して「安全なルール」のデフォルトセットを作成できるようにすることでメリットがあります。デフォルトのルールでは、WindowsおよびProgram Files内のすべてのファイルを実行できるほか、Administratorsグループのメンバーが何でも実行できるようになっています。

SRPに対する最も注目すべき改善点の1つは、[ルールの自動生成]オプション[画面イメージ]を使用して参加しているコンピューターに対してAppLockerを実行し、ベースラインのルールセットをすばやく生成する機能です。数分で、既知のクリーンなイメージに対して数十から数百のルールを作成できるため、AppLocker管理者は数時間から数日の作業をどこでも節約できます。

AppLockerは、実行可能ファイル、DLL、Windowsインストーラー、およびスクリプトの4種類のルールコレクションをサポートしています。 SRP管理者は、Microsoftにレジストリルールまたはインターネットゾーンオプションがなくなったことに気付くでしょう。各ルールコレクションは、限られたファイルタイプのセットを対象としています。たとえば、実行可能ルールは32ビットおよび64ビットの.EXEと.COMを対象としています。 ntdvm.exeプロセスの実行を阻止することにより、すべての16ビットアプリケーションをブロックできます。スクリプトルールは、.VBS、.JS、.PS1、.CMD、および.BATファイルタイプを対象としています。 DLLルールコレクションは、.DLL(静的にリンクされたライブラリを含む)とOCX(Object Linking and Embedding Control Extensions、別名ActiveXコントロール)を対象としています。

特定のルールコレクションのAppLockerルールが存在しない場合、そのファイル形式のすべてのファイルの実行が許可されます。ただし、特定のルールコレクションのAppLockerルールが作成されると、ルールで明示的に許可されているファイルのみが実行を許可されます。たとえば、%SystemDrive%\ FilePath内の.exeファイルの実行を許可する実行可能ルールを作成した場合、そのパスにある実行可能ファイルのみが実行を許可されます。

AppLockerは、各ルールコレクションに対して、パスルール、ファイルハッシュルール、およびパブリッシャールールの3種類のルール条件をサポートしています。任意のルール条件を使用して実行を許可または拒否でき、特定のユーザーまたはグループに対して定義できます。パスとファイルのハッシュルールは一目瞭然です。どちらもワイルドカード記号を受け入れます。パブリッシャールールはかなり柔軟性があり、デジタル署名されたファイルのいくつかのフィールドを特定の値またはワイルドカードと一致させることができます。 AppLocker GUI [画面イメージ]の便利なスライダーバーを使用すると、特定の値をワイルドカードにすばやく置き換えることができます。新しいルールごとに、1つ以上の例外を簡単に作成できます。デフォルトでは、パブリッシャールールはファイルの更新されたバージョンを元のバージョンと同じように扱います。または、完全一致を強制することもできます。

AppLockerといわゆる競合他社との重要な違いは、AppLockerは実際にはサービスであり、他のプログラムがインターフェイスできる一連のAPIとユーザー定義のポリシーであるということです。 Microsoftは、Windowsとその組み込みスクリプトインタープリターをAppLockerとインターフェイスするようにコーディングして、これらのプログラム(Explorer.exe、JScript.dll、VBScript.dllなど)がAppLockerポリシーで定義されたルールを適用できるようにしました。これは、AppLockerが本当にオペレーティングシステムの一部であり、ルールが正しく定義されている場合に簡単に回避できないことを意味します。

ただし、AppLockerのポリシーテーブルで定義されていないファイルの種類のルールを作成する必要がある場合は、目的の効果を得るにはある程度の創造性が必要になることがあります。たとえば、拡張子が.PLのPerlスクリプトファイルが実行されないようにするには、代わりにPerl.exeスクリプトインタープリターをブロックする実行可能ルールを作成する必要があります。これにより、すべてのPerlスクリプトがブロックまたは許可され、よりきめ細かい制御を行うためにある程度の機知が必要になります。このレビューのほとんどの製品には同じ種類の制限があるため、これは固有の問題ではありません。

AppLockerの構成とルールは、読み取り可能なXMLファイルとして簡単にインポートおよびエクスポートでき、緊急時にルールをすばやくクリアでき、すべてWindowsPowerShellを使用して管理できます。レポートとアラートは、通常のイベントログから取得できるものに限定されます。ただし、AppLockerの制限がある場合でも、Microsoftの値札(Windows7およびWindowsServer 2008 R2を実行している場合は無料)は、最新のMicrosoftショップにとって強力な魅力となる可能性があります。

この記事「Windows7およびWindowsServer 2008 R2でのアプリケーションのホワイトリスト」と、エンタープライズネットワーク向けの5つのホワイトリストソリューションのレビューは、もともと.comで公開されていました。.comで、情報セキュリティ、Windows、およびエンドポイントセキュリティの最新の開発をフォローしてください。