パッケージ化されたアプリケーションへのアクセスを制限します

マイクロソフトは、Windows 8のリリースにより、ユーザーがデスクトップアプリケーションを表示する方法を完全に変更することを決定したことを知っています。 パッケージ化されたアプリケーションは、メトロアプリケーションでもあり、均一性、更新された簡素化された外観、および新しいユーザーインタラクションが特徴です。 これらのアプリケーションでは、気晴らしが最小限に抑えられ、Microsoftが過去数年間取り組んできたWindows Aeroなど、ほとんどすべてのグラフィック効果が削除され、すべてのアプリケーションは単一の配色、フォントなどを使用します。 マイクロソフトがWindows 3.1のスタイルでアプリケーションに戻ることにしたかどうかについては、Microsoftが成功したかどうかについては触れませんが、これに我慢し、そのようなアプリケーションを維持するために何らかのアクションをとる必要があります。

誰もが知っているように、MicrosoftはWindows 7などのオペレーティングシステムから始めて、特定のファイルまたはアプリケーションへのユーザーアクセスの制限に関連するタスクを実行するためのSRPポリシーに加えて、AppLockerと呼ばれる新しいテクノロジーを作成しました。 AppLockerポリシーは、適用のためのさまざまな設定を含むAppLockerルールのコレクションです。 GPOの特徴であるように、各ルールは特定のポリシーに保存され、ポリシー自体はGPOの階層に従って既に配布されています。

従来のアプリケーションとは異なり、すべてのパッケージ化されたアプリケーションには共通の属性があります。これは、発行者の名前、製品の名前、およびそのバージョンです。 したがって、1種類のルールを使用してすべてのアプリケーションを管理できます。 Windows Server 2012およびWindows 8オペレーティングシステムでは、パッケージ化されたアプリケーションのAppLockerルールを従来のアプリケーションとは別に作成できます。つまり、個別のコレクションが特別に割り当てられています。 パッケージ化されたアプリケーションの1つのAppLockerルールは、アプリケーションのインストールと操作の両方を制御できます。 パッケージ化されたアプリケーションはすべて署名されているため、AppLockerはパッケージ化されたアプリケーションの発行者ルールのみをサポートします。 パッケージ化されたアプリケーションへのアクセスを制限する方法を見てみましょう。

前提条件は、ルールが作成されるコンピューターでそのようなアプリケーションを使用できることであるため、すぐにそのようなアプリケーションをインストールする必要があります。

Windows Marketplaceにアクセスして、たとえば、Microsoft Zune Music、Microsoft Zune Video、Microsoft Bing News、Microsoft Bing Maps、Microsoft Bing Travel、Microsoft Bing Sportsなどの標準アプリケーションを見つけます。 これらのアプリケーションをコンピューターにインストールします。 彼らがどのように見え、彼らの主な目的が何であるか、あなたはすでに私が確信しているものを知っています。 一部のパッケージ化されたアプリケーションのインストールを次の図に示します。





図 1. Windows Marketplaceから4つのパッケージアプリケーションをインストールする

繰り返しますが、AppLockerルールが適用されるターゲットコンピューターでApplication Identityサービスを実行する必要がある点に注意してください。 この瞬間を各コンピューターのスナップインサービスから直接手動で監視するか、グループポリシーのクライアント側の特別な拡張を使用してこのようなサービスを集中的に構成できます。 デフォルトでは、 「手動」の起動タイプがあるため、いずれの場合も何らかの対策を講じる必要があります。

これで、AppLockerルールに進むことができます。

AppLockerルールの作成

パッケージ化されたアプリケーション（Microsoft Bing Sportsなど）へのアクセスを制限するルールを作成するには、次のことを行う必要があります。

1. まず、グループポリシー管理スナップインで新しいグループポリシーオブジェクトを自然に作成します。これは、アプリケーションを制限するように設計されたルールが別のGPOにあり、 「AppLockerルール」などと呼ぶのが最善だからです。 その後、このようなオブジェクトを、作成したルールを適用する必要があるコンピューターアカウントを含むユニットに関連付ける必要があります。 たとえば、私の場合、バインドはドメイン全体に対して行われますが、実際の環境では、ターゲットコンピューターを特定のユニットに配布するのが理想的なオプションです。 予備段階の最後のタスクは、もちろん、グループポリシー管理エディター自身を開くことです。
2. 次に、表示されたスナップインで、 コンピューターの構成\ポリシー\ Windows構成\セキュリティ設定\アプリケーション管理ポリシーノードを展開し、AppLockerと呼ばれるノードに移動します（ コンピューター構成\ポリシー\ Windows設定\セキュリティ設定\アプリケーション制御ポリシー\ AppLocker ）。 次に、 「Packaged app rules」と呼ばれる最新のコレクションに移動します。これは、英語では「 Packaged app Rules 」のように聞こえます。 このコレクション内に、ルールを作成します。つまり、オプション「 新規ルールの作成 」を選択する必要があります。
   
   
   
   
   
   図 2.新しいAppLockerルールを作成する
3. AppLocker実行可能ルールウィザードダイアログボックスが表示されます。 ここでは、ウィザードの最初のページで、提供された情報に精通し、 「次へ」ボタンをクリックするだけです。
4. もちろん、アクセス許可ページでは、最終的にユーザーに選択したパッケージアプリケーションの実行を許可するか、逆にユーザーがツールを一度も使用することを禁止するかどうかを選択する必要があります。 この場合、主なタスクは特定のパッケージ化されたアプリケーションへのアクセスを拒否することであったため、ここでこのオプションを停止します。 また、ここで、このルールを適用する特定のユーザーまたはユーザーのグループを選択できます。 この場合、このオプションを無視して先に進みます。
   
   
   
   
   
   図 3.作成されたルールの権限の定義
5. 5番の図でわかるように、次のページは「パブリッシャー」と呼ばれ、ここでは同じWindows 7のAppLockerの他のカテゴリで使用できるパスルールまたはファイルハッシュルールを選択できませんまたはWindows Server 2008 R2。 ここでは、次のオプションのいずれかを選択できます。
   
   
   • たとえば 、インストール済みのパッケージアプリを参照として使用 します 。 この場合、コンピューターに既にインストールされているアプリケーションを選択する必要があります。 ルールを作成するとき、発行者、パッケージ名、およびこのアプリケーションのバージョンが使用されます。
   • たとえば 、パッケージ化されたアプリインストーラーを参照として使用します。 このオプションを決定したら、パッケージ化されたアプリケーションのインストールファイルに拡張子appxを指定する必要があります。 前のケースと同様に、発行元、パッケージ名、およびバージョンもルールの定義に使用されます。 このオプションは、ユーザーがPowerShellなどを使用して、そのようなアプリケーションを手動でインストールする場合に受け入れられます。
   
   
   アプリケーションは既にインストールされているため、最初のオプションで停止し、選択ボタンを押します。 次の図に示すように、表示されるダイアログボックスに、インストールされているすべてのパッケージアプリケーションが表示されます。 左側ではチェックボックスをインストールするためのコントロールにマークを付けることができますが、一度に複数のフラグを設定することはできないため、あまり期待しないでください。 たとえば、Microsoft Bing Sportsのルールを作成します。つまり、選択します。
   
   
   
   
   
   図 4.インストール済みのパッケージ化されたアプリケーションの選択
6. 少し上で説明したこの図でわかるように、ウィザードのこのページの下部で、作成されたルールのプロパティを指定できます。 ここでは次のプロパティを使用できます。
   
   
   • 任意のパブリッシャー （ Any Publisher ）。 このプロパティは、選択したファイルカテゴリのすべての発行元に責任を負います。 たとえば、最初に「許可」値を選択した場合、この場合、このルールは署名されていないアプリケーションの実行をさらに禁止します。 または、もちろん、パッケージ化されたアプリケーションの使用を完全に禁止できます。
   • 発行者 （ 発行者名 ）。 この制御要素を使用して、特定の名前を持つ発行者によって署名されたすべてのファイルがルールの範囲に含まれることを指定できます。
   • パッケージの名前 （ パッケージ名 ）。 ルールのこのプロパティを使用すると、発行元情報に加えて、パッケージ化されたアプリケーションパッケージ自体の名前をルールに追加できます。 この場合、Microsoft.BingSportsです。
   • パッケージバージョン これは、作成されたルールの最も柔軟なプロパティです。 ここで、管理しているアプリケーションのバージョンを確認できます。 たとえば、パッケージ化されたアプリケーションの特定のバージョンを示すには、通常のexeファイルまたは動的ライブラリの場合と同様に、カスタム値を使用してオプションを確認し、バージョン番号を手動で指定して、ルールを適用するかどうかを選択できますバージョンが指定した値よりも高い、またはそれ以下のアプリケーション、またはソフトウェア製品の特定のバージョンにのみルールが適用されるアプリケーション。
   
   
   アプリケーションは頻繁に更新されるため、アプリケーションのバージョンを無視し、スライダーをパッケージ名に移動します。 完了したようです。 ウィザードの次のページに進みます。
   
   
   
   
   
   図 5.パッケージ化されたアプリケーションのルールを定義するプロパティの設定
7. ここでは例外を追加しないため、最後のページに進みます。 次の図に示すように、ここでのルールの名前は非常にわかりやすいため、新しいルールを作成するには、すぐに[ 作成 ]ボタンをクリックします。
   
   
   
   
   
   図 6. AppLockerルール作成ウィザードの最後のページ

取得したものをすぐに確認してください。 ポリシー設定を更新し、開始画面に移動します。 スポーツアプリケーションを開いてみましょう。

この記事の最後の図を見るとわかるように、このアプリケーションがシステム管理者によってブロックされていることを示すメッセージ、つまり表示されるはずのメッセージが表示されました。 その結果、焦点は成功でした。





図 7.完了したアクションの検証

まとめると

この短い記事では、最新のオペレーティングシステムでMicrosoftの革新的な技術の1つであるパッケージアプリケーション（ほとんどの場合、メトロアプリケーションと呼ばれる）へのアクセスを制限する方法について学びました。 そのようなルールをどのように作成することができるか、何に基づいているのか、そしてそのようなルールを展開する前に満たさなければならない1つの重要な予備要件について説明しました。 社内でパッケージ化されたアプリケーションを使用していますか？また、ユーザーの一部のAPPXファイルへのアクセスを制限する予定ですか？