Active directoryについて、仮想環境を用意してみたけど何したらいいのかわからない
グループポリシーの操作についてあまり理解できてない、、、
そういったお悩みの方向けに今回は、
グループポリシーを使ったアプリやソフトの実行を制限するポリシーの作成手順をご紹介したいと思います。
情報システム部に勤務されて間もない方、もしくはこれから情報システム部へ勤務される方は
ぜひこの記事を読んでみてください。
- グループポリシーの基本操作
- グループポリシー「APPLocker」の設定方法
- 実行ファイルの場所を特定する方法
そもそもアクティブディレクトリを自由に触る環境がないよ。。。
とお困りの方に自分のPCでもActive directoryを触れる環境を構築する方法を下記にまとめています。
お持ちのPCのスペックによってはできない可能性もありますが、上記記事をお読みいただくことで環境を用意する手順を知ることができます。
また、Windows OSはMicrosoftが公式で出している評価版をインストールすることによって、使用できる日数は決まっていますが、Windows ServerやWindows Proを操作することが可能です。
Virtual Boxをインストール済みの方は上記記事も合わせて読んでいただくことで、本記事のグループポリシーの作成ができます。
APPLockerとは
AppLockerとはWindowsのセキュリティ機能の1つで、組織や会社で使用しているアプリケーションを管理するためのツールです。
もっと簡単に言うと
「このアプリは使用OK、このアプリはダメ!」とルールを設定できる仕組みになります。
この機能を活用することにより、不要なアプリの使用を制限することができ、セキュリティ機能や業務効率の向上が見込めます。
ポリシー作成の大まかな手順は下記の通りです。
- Application Identitiyサービスの自動起動設定の有効化
- AppLockerのポリシーの設定
- グルーポリシーオブジェクトのリンク
AppLockerを使用する前提条件として、Application Identityサービスの設定を有効化する必要があります。
WindowsのAppLockerを機能させるために必要な基盤となるサービスです。Applockerがアプリの制限を行う際に、アプリの情報を認識する役割があります。
グループポリシーの基本知識
グルーポリシーの作成方法と適用について知っている方は、この章を飛ばしていただいて構いません。
Active Directoryにおいて、グループポリシーを作成する手順は大まかに下記の通りです。
- グループポリシーオブジェクトの作成
- 対象となるサイト or ドメイン or OUにリンク
- クライアント端末でグループポリシーの適用
実際の作成画面は下記の通りです。
サーバーマネージャーから「グループポリシーの管理」を選択し、作成してきます。
ポリシー作成手順
まずは、Application Identityサービスの自動起動を有効化するポリシー作成してきましょう。
「グルーポリシーの管理」を開き、グループポリシーオブジェクトを選択した状態で右クリックします。
右クリックメニューから「新規」をクリックします。
名前はお好きな名前、もしくは既存の運用ルールがあればそちらに合わせて頂いて構いません。
今回は、「AppLocker Default Policy」にて作成していきます。
先ほど作成したオブジェクトを右クリックし、「編集」を選択します。
グループポリシー管理エディターが立ち上がりますので、下記順番でクリックしてください。
「windowsの設定」 > 「セキュリティの設定」 > 「システムサービス」 > 「Application Identity」
「Application Identity」をダブルクリックするとプロパティ画面が開きます。
下記の通り、2項目を設定してOKをクリックします。
- 「このポリシーの設定を定義する」にチェックを入れる
- サービスのスタートアップモード:「自動」を選択する
上記設定が完了したら、グループポリシー管理エディターを右上の「×」を押して、閉じます。
次に、APPLockerのポリシーを作成していきます。
今回は、CubePDFの使用を禁止するポリシーを作成していきたいと思います。
先ほどの手順同様に、「グループポリシーオブジェクト」 > 「新規」を選択します。
名前は「APPLocker Deny CubePDF Policy」にしました。
対象のポリシーを右クリックし、「編集」を選択します。
下記の通り、展開してください。
コンピューターの構成 > windowsの設定 > セキュリティの設定 > アプリケーション制御ポリシー > APPLocker > 実行ファイルの規則
実行可能なファイルの規則を右クリックし、「規定の規則の作成」を選択してください。
すると右ペインに3つの規定が自動で作成されます。
実行可能ファイルの規則を右クリックし、「新しい規則の作成」を選択します。
下記ウィザードが表示されるため、「次へ」をクリックします。
下記2点を設定し、「次へ」をクリックします。
- 操作:拒否
- ユーザーまたはグループ:EveryOne
今回は「パス」を選択します。選択したら、「次へ」をクリック。
CubePDFのアプリケーションが格納されているフォルダーパスを入力して、「次へ」を選択します。
例外はないので、「次へ」を選択します。
制御するアプリの規則について、名前と説明を追記したい場合は入力します。
不要であればデフォルトのまま「作成」を選択します。
設定した規則が作成されます。
ここで終わりたいところですが、最後に2か所設定するところがあります(笑)
下記の通り、パッケージアプリ規則について、規則を追加します。
パッケージアプリの規則 > 規定の規則の作成
検証環境や自宅の環境でやられている方はあえて上記設定をしないでポリシーを適用してみると、
いろいろなアプリが制限されるので、面白いですよ(笑)
APPLockerを「右クリック」 > 「プロパティ」の順に選択します。
プロパティ画面が表示されますので下記2項目を設定し、OKを選択します。
- 実行可能ファイルの規則:構築済みにチェックを入れる
- パッケージ アプリの規則:構築済みにチェックを入れる
AppLockerの画面にて、実行ファイルの規則とパッケージアプリの規則について、
実施が構成されたことを確認します。
先ほど作成した、ポリシーをリンクさせていきます。
今回は、ドメインの配下にリンクさせたいと思います。
やり方は簡単で、対象のポリシーをドメインの部分までドラッグするだけです。
下記表示がでたら、「OK」を選択します。
ここまでできたら、あとはクライアント側でグループポリシーの適用を行うのみとなります。
クライアント端末の操作に移ります。
タスクバーの検索ボックスにて「cmd」と入力してEnterキーを押します。
コマンドプロンプトが起動したら、下記コマンドを入力します。
gpupdate /force
下記画面のように2つのポリシーの更新が完了したことを確認します。
- コンピューター ポリシーの更新が正常に完了しました。
- ユーザー ポリシーの更新が正常に完了しました。
動作確認
最後に、タスクバーの検索ボックスから「cubePDF」を検索して、アプリを起動してみます。
下記画面が表示されれば、APPLockerの設定が正常に完了しています。
エベントビューアーにて確認する
ブロックされたアプリはWindowsのイベントビューアーでもログとして確認が可能です。
手順は下記の通りです。
まずはイベントビューアーを立ち上げます。
立ち上げた後に、下記の通り展開していきます。
アプリケーションとサービス ログ > Microsoft > Windows > APPLocker > EXE and DLL
確認すると、「エラー」としてAPPLockerでブロックされたアプリのログが確認できます。
最後に
今回は
本ブログでは、Active Directoryの操作に慣れて頂けるようにほかのグループポリシーの設定や基本操作について、ご紹介しています。
コメント