指定したアプリの起動を禁止する新機能 AppLocker

2009年10月28日 17時07分更新

文● 柳谷智宣

「AppLocker」で禁止すれば、業務用パソコンでWinnyを使われるのも禁止できる

　Windows 7 Ultimate(Enterpriseも含む)の新機能「AppLocker」では、指定したアプリケーションの実行を禁止できる。例えば企業で利用するパソコンで、業務とは関係ないアプリケーションを利用されるのは困りものだ。特にネットワーク帯域を浪費するうえ、情報漏洩の原因ともなるP2Pソフトならなおさらだ。そのため、クライアントで特定のアプリケーションを動作させないようにするソリューションを導入している企業は多いが、導入・運用コスト的な問題もある。

　AppLockerであれば、OS以外の追加投資なしでそうした機能を提供できるという。早速その使い方を見てみよう。

PSP2ソフトの起動を禁止する

「AppLocker」のメイン画面

　コントロールパネルから、「管理ツール」→「ローカルセキュリティーポリシー」→「アプリケーション制御ポリシー」→「AppLocker」を開く。まずは、「実行可能ファイルの規則」を開き、禁止したいアプリケーションを追加する。あらかじめ用意しておいた禁止したいアプリケーションを、「規則の自動生成」機能で分析しよう。ウィザード形式で作業できるので迷わずに済む。

右クリックメニューから「規則の自動生成」をクリック

「参照」をクリックして、規制したいアプリケーションが入っているフォルダーを選択

　AppLockerでは対象アプリケーションを判別する方法として、デジタル署名とファイルハッシュを利用する2つの機能が用意されている。P2Pソフトなどの場合はデジタル署名などないので、ハッシュを利用することになる。ハッシュとはデータの比較に使われる手法で、目当てのアプリケーションを確実に判別できる。内容をチェックしているので、ファイル名を変えたくらいでは起動できない。

　ウィザードでは「規則の種類」を選択する際、デジタル署名を利用して、署名がない場合はハッシュを利用する設定が可能だ。初期設定のまま「次へ」をクリックしていい。

設定を確認して「次へ」をクリック

「作成」をクリックすると規則が追加される

　最初に規則を作成したときには、規定の規則を作成するように警告画面が出る。これはWindowsフォルダーやProgram Filesフォルダー内のプログラムを確実に実行できるように、自動で許可を与える設定だ。「はい」を選んで問題ない。

　規定の規則が設定されると、WindowsフォルダーやProgram Filesフォルダー以外の場所にあるプログラムは実行できなくなる。例えば、デスクトップやUSBメモリー上のソフトは利用できない。ただし、上記のフォルダーにコピーすれば実行できてしまう。

このダイアログが開いたら「はい」をクリック

　この状態では対象のアプリケーションが「許可」されているので、続いて対象のプロパティを開き、操作を「拒否」にする。先述のとおり、規則を自動生成した状態では対象のアプリケーションが許可されているので、WindowsフォルダーやProgram Filesフォルダーにコピーされてしまうと実行が可能になる。そこで、ダブルクリックして設定画面を開き、「拒否」にする。この状態では、全員が起動できなくなるが、特定のユーザーもしくはグループだけを対象に拒否することも可能だ。「お父さんは使えるが、子供はだめ」といった設定も簡単だ。

　最後に「アプリケーション制御ポリシー」→「AppLocker」に戻って、緑の矢印が付いた「規則の実施の構成」を開く。開いたダイアログにある「実行可能ファイルの規則」の「構成済み」にチェックし、「規則の実施」を選択する。AppLocker側での作業は終了だ。だが、事前設定はもうひとつ必要だ。