ここが変わった! 早わかりWindows 7 ― 第9回
指定したアプリの起動を禁止する新機能 AppLocker
2009年10月28日 17時07分更新
 | 「AppLocker」で禁止すれば、業務用パソコンでWinnyを使われるのも禁止できる |
|---|
Windows 7 Ultimate(Enterpriseも含む)の新機能「AppLocker」では、指定したアプリケーションの実行を禁止できる。例えば企業で利用するパソコンで、業務とは関係ないアプリケーションを利用されるのは困りものだ。特にネットワーク帯域を浪費するうえ、情報漏洩の原因ともなるP2Pソフトならなおさらだ。そのため、クライアントで特定のアプリケーションを動作させないようにするソリューションを導入している企業は多いが、導入・運用コスト的な問題もある。
AppLockerであれば、OS以外の追加投資なしでそうした機能を提供できるという。早速その使い方を見てみよう。
PSP2ソフトの起動を禁止する
 | 「AppLocker」のメイン画面 |
|---|
コントロールパネルから、「管理ツール」→「ローカルセキュリティーポリシー」→「アプリケーション制御ポリシー」→「AppLocker」を開く。まずは、「実行可能ファイルの規則」を開き、禁止したいアプリケーションを追加する。あらかじめ用意しておいた禁止したいアプリケーションを、「規則の自動生成」機能で分析しよう。ウィザード形式で作業できるので迷わずに済む。
 |  | |
|---|---|---|
| 右クリックメニューから「規則の自動生成」をクリック | 「参照」をクリックして、規制したいアプリケーションが入っているフォルダーを選択 |
AppLockerでは対象アプリケーションを判別する方法として、デジタル署名とファイルハッシュを利用する2つの機能が用意されている。P2Pソフトなどの場合はデジタル署名などないので、ハッシュを利用することになる。ハッシュとはデータの比較に使われる手法で、目当てのアプリケーションを確実に判別できる。内容をチェックしているので、ファイル名を変えたくらいでは起動できない。
ウィザードでは「規則の種類」を選択する際、デジタル署名を利用して、署名がない場合はハッシュを利用する設定が可能だ。初期設定のまま「次へ」をクリックしていい。
 |  | |
|---|---|---|
| 設定を確認して「次へ」をクリック | 「作成」をクリックすると規則が追加される |
最初に規則を作成したときには、規定の規則を作成するように警告画面が出る。これはWindowsフォルダーやProgram Filesフォルダー内のプログラムを確実に実行できるように、自動で許可を与える設定だ。「はい」を選んで問題ない。
規定の規則が設定されると、WindowsフォルダーやProgram Filesフォルダー以外の場所にあるプログラムは実行できなくなる。例えば、デスクトップやUSBメモリー上のソフトは利用できない。ただし、上記のフォルダーにコピーすれば実行できてしまう。
 | このダイアログが開いたら「はい」をクリック |
|---|
この状態では対象のアプリケーションが「許可」されているので、続いて対象のプロパティを開き、操作を「拒否」にする。先述のとおり、規則を自動生成した状態では対象のアプリケーションが許可されているので、WindowsフォルダーやProgram Filesフォルダーにコピーされてしまうと実行が可能になる。そこで、ダブルクリックして設定画面を開き、「拒否」にする。この状態では、全員が起動できなくなるが、特定のユーザーもしくはグループだけを対象に拒否することも可能だ。「お父さんは使えるが、子供はだめ」といった設定も簡単だ。
最後に「アプリケーション制御ポリシー」→「AppLocker」に戻って、緑の矢印が付いた「規則の実施の構成」を開く。開いたダイアログにある「実行可能ファイルの規則」の「構成済み」にチェックし、「規則の実施」を選択する。AppLocker側での作業は終了だ。だが、事前設定はもうひとつ必要だ。
 |  | |
|---|---|---|
| 追加した規則をダブルクリックして設定画面を開き、「拒否」にチェックする | 「実行可能ファイルの規則」の「構成済み」にチェックし、「規則の実施」を選択する |
