第18回 Windowsストア・アプリをグループ・ポリシーで管理する:Windows 8レボリューション(2/2 ページ)
前ページの方法では、「ストア」アプリの利用を禁止することにより、新しいWindowsストア・アプリのインストールをブロックしていたが、最初からインストールされている「メール」や「カレンダー」「天気」「地図」などのアプリ(Windows 8の場合)はそのまま利用できる。これらも含めて、すべてのWindowsストア・アプリの実行を禁止したければ、AppLocker機能を使ってブロックするとよい。
AppLockerを使ってWindowsストア・アプリの実行を禁止する方法
AppLockerとは、Windows 7/Windows Server 2008 R2から導入された、アプリケーションの実行を許可したり禁止したりする機能である。Windows 8/Windows Server 2012ではWindowsストア・アプリの制御ができるように機能が拡張されている。ただし、利用できるのはWindows 8のEnterpriseエディションとWindows Server 2012(全エディション)だけである。Windows 8のProや無印エディションでは利用できない。
以下、AppLockerを使ってすべてのWindowsストア・アプリの実行を禁止する方法を紹介する。AppLockerの基本的な使い方については、TIPS「Windows 7のAppLockerで特定のプログラムを実行禁止にする」も参照していただきたい。
AppLockerは、先のストア・アプリの禁止と同様に、ローカル・ポリシーでも設定できるし、ドメインのグループ・ポリシーでも設定できる。ここではドメインのグループ・ポリシーで設定してみよう。
手順1:サービスの開始設定
AppLockerを使うには、AppLockerを適用したいコンピュータ上で「Application Identity」サービスを起動しておく必要がある。個別のコンピュータごとにローカル・ポリシーで制御するなら、「サービス」管理ツールを起動して、「Application Identity」というサービスのプロパティを表示させ、「スタートアップの種類」を「自動」にして、さらにサービスを「開始」させておく。
グループ・ポリシーで設定する場合は、グループ・ポリシー・エディタで[コンピューターの構成]−[ポリシー](ローカル・ポリシーの場合は存在しない)−[Windowsの設定]−[セキュリティの設定]−[システム サービス]のツリーを開き、「Application Identity」というサービスをダブルクリックして開く。そして「このポリシーの設定を定義する」のチェック・ボックスをオンにし、サービスのスタートアップ・モードを自動に設定しておく。
Application Identityサービスの起動設定AppLockerを利用するには、対象となるコンピュータ上で「Application Identity」サービスが実行されている必要がある。グループ・ポリシーを使う場合は、サービスの起動もグループ・ポリシーで定義しておくとよい。
(1)[コンピューターの構成]の下にある[Windowsの設定]−[セキュリティの設定]−[システム サービス]を開く。
(2)「Application Identity」サービスをダブルクリックして設定を変更する。
(3)「スタートアップ」が「自動」になるように設定すること。
手順2:Windowsストア・アプリのデフォルト規則の作成と変更
すべてのWindowsストア・アプリの実行を禁止するには、すべてのWindowsストア・アプリにマッチするデフォルトの規則を作り、実行禁止を設定すればよい。
Windowsストア・アプリに対するAppLockerの規則は、グループ・ポリシーで[コンピューターの構成]−[ポリシー]−[Windowsの設定]−[セキュリティの設定]−[アプリケーション制御ポリシー]−[AppLocker]を開く。この中に4種類の規則があるが、Windowsストア・アプリに対する規則は、一番下の「パッケージ アプリの規則」が該当する。これをダブルクリックして開き、右側のペインで右クリックしてポップアップ・メニューから[既定の規則の作成]を選ぶ。
AppLockerのデフォルト規則の作成「パッケージ アプリの規則」でWindowsストア・アプリに対する実行の許可/禁止を定義する。
(1)これを選択する。
(2)デフォルトでは何も定義されていないが、この場合、すべてのユーザーに対してすべてのWindowsストア・アプリの実行が許可されている。
(3)新しい規則を追加する場合はこれを選択する。
(4)インストールされているWindowsストア・アプリに対して、自動的にそれらの実行を許可する規則を作成できる。
(5)これを選択して、デフォルトの規則を作成する。
[既定の規則の作成]を選ぶと、デフォルトの規則が作成される。その内容は、「すべてのユーザーに対して、すべてのWindowsストア・アプリの実行を許可する」という規則になっている。ちなみに、この規則を作成せずに例えば「アプリAの実行を許可する」という規則を作成すると、A以外のアプリの実行は禁止され、実行できなくなる。AppLockerは、許可する対象を明示的に指定する「ホワイトリスト方式」のためだ。
作成されたデフォルト規則作成されたデフォルトの規則をダブルクリックして開き、「操作」の値を「許可」から「禁止」に変更する。
AppLockerのデフォルト規則の設定の変更これでAppLockerの規則の作成は完了である。グループ・ポリシー管理エディタを終了して、グループ・ポリシーが伝達・適用されるのを待つ(もしくはコマンド・プロンプトで「gpupdate /force」と実行して強制適用する)。
正しく設定できていれば、スタート画面で何かアプリを起動させようとしても次のようなメッセージが表示され、実行できなくなっているはずである。また「ストア」アプリも実行できない。
ブロックされたWindowsストア・アプリAppLockerでWindowsストア・アプリの実行をブロックすると、アプリを起動しようとしても、このような画面が表示され、起動できない。「ストア」アプリも使えない。
AppLockerで特定のWindowsストア・アプリの実行を許可/禁止する
すべてのアプリケーションの実行を禁止するのではなく、特定のアプリケーションだけを許可や禁止したい場合は、それぞれのアプリケーションごとに個別の規則を定義して追加すればよい。
AppLockerの規則を作る場合、次の2通りがある。
- 基本はすべて禁止で、特定のいくつかのアプリだけを許可したい
- 基本はすべて許可だが、特定のいくつかのアプリだけは禁止したい
前者の場合は、すべての規則を削除後、許可のための規則をいくつか追加する、という操作を行う。AppLockerはホワイトリスト方式で規則を管理しているため、規則にないアプリはデフォルトではすべて禁止される。わざわざ、すべてを禁止するデフォルト規則を作成する必要はない(こういう規則を作ると、禁止が優先され、何も実行されなくなる)。
後者の場合は、デフォルトですべてを許可する規則を作成し([既定の規則の作成]を使うと自動的に作成される)、さらに禁止のための規則をいくつか追加定義する。「許可」と「拒否」の両方があると「拒否」が優先されるため、このような設定が必要になる。
ここでは、基本的には全面的に禁止し、特定のいくつかのアプリだけは許可、という規則を作成してみる。このためには、前掲の画面「AppLockerのデフォルト規則の作成」において「新しい規則の作成((3))」を選択する。
すると「作成:実行可能ファイルの規則」ウィザードが起動するので、「アクセス許可」画面の「操作」で「許可」を選んで、ウィザードを先へ進める。
「発行元」の画面では、インストール済みのアプリから1つ選ぶ。ここでは標準アプリの「ニュース」を選んで許可する規則を作成してみる。
特定のWindowsストア・アプリを許可する規則この「発行元」画面では、どのアプリを許可するかを指定する。
(1)ここではアプリの発行元やパッケージ名、バージョンなどを指定する。
(2)基本的には、すでにローカルにインストールされているアプリから選ぶことになる。
(3)アプリ名。
(4)これをクリックすると、インストールされているアプリの一覧が表示されるので、そこから1つ選択する。
(5)このスライダで、どの情報までを条件にするかを設定する。デフォルトでは、発行元、パッケージ名が一致し、バージョン番号が指定した条件に一致したものだけが合致する。パッケージ名まで除外すると、発行元が一致しているだけで、規則に合致することにある(この場合は、Microsoft製のアプリならすべて合致することになる)。
(6)アプリの情報。発行元、アプリ名、バージョン番号で識別する。
以上のようにして許可したいアプリに合致する規則を作成すればよい。
今回は、Windowsストア・アプリの実行の許可や禁止を制御する方法を紹介した。Windowsストアを使えば、今までよりも簡単にアプリがインストールできてしまうため、管理者としては、このような方法を使って管理する必要があるかもしれない。
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。