Windows 7 Ultimate(Enterpriseも含む)の新機能「AppLocker」では、指定したアプリケーションの実行を禁止できる。例えば企業で利用するパソコンで、業務とは関係ないアプリケーションを利用されるのは困りものだ。特にネットワーク帯域を浪費するうえ、情報漏洩の原因ともなるP2Pソフトならなおさらだ。そのため、クライアントで特定のアプリケーションを動作させないようにするソリューションを導入している企業は多いが、導入・運用コスト的な問題もある。
AppLockerであれば、OS以外の追加投資なしでそうした機能を提供できるという。早速その使い方を見てみよう。
PSP2ソフトの起動を禁止する
コントロールパネルから、「管理ツール」→「ローカルセキュリティーポリシー」→「アプリケーション制御ポリシー」→「AppLocker」を開く。まずは、「実行可能ファイルの規則」を開き、禁止したいアプリケーションを追加する。あらかじめ用意しておいた禁止したいアプリケーションを、「規則の自動生成」機能で分析しよう。ウィザード形式で作業できるので迷わずに済む。
AppLockerでは対象アプリケーションを判別する方法として、デジタル署名とファイルハッシュを利用する2つの機能が用意されている。P2Pソフトなどの場合はデジタル署名などないので、ハッシュを利用することになる。ハッシュとはデータの比較に使われる手法で、目当てのアプリケーションを確実に判別できる。内容をチェックしているので、ファイル名を変えたくらいでは起動できない。
ウィザードでは「規則の種類」を選択する際、デジタル署名を利用して、署名がない場合はハッシュを利用する設定が可能だ。初期設定のまま「次へ」をクリックしていい。
最初に規則を作成したときには、規定の規則を作成するように警告画面が出る。これはWindowsフォルダーやProgram Filesフォルダー内のプログラムを確実に実行できるように、自動で許可を与える設定だ。「はい」を選んで問題ない。
規定の規則が設定されると、WindowsフォルダーやProgram Filesフォルダー以外の場所にあるプログラムは実行できなくなる。例えば、デスクトップやUSBメモリー上のソフトは利用できない。ただし、上記のフォルダーにコピーすれば実行できてしまう。
この状態では対象のアプリケーションが「許可」されているので、続いて対象のプロパティを開き、操作を「拒否」にする。先述のとおり、規則を自動生成した状態では対象のアプリケーションが許可されているので、WindowsフォルダーやProgram Filesフォルダーにコピーされてしまうと実行が可能になる。そこで、ダブルクリックして設定画面を開き、「拒否」にする。この状態では、全員が起動できなくなるが、特定のユーザーもしくはグループだけを対象に拒否することも可能だ。「お父さんは使えるが、子供はだめ」といった設定も簡単だ。
最後に「アプリケーション制御ポリシー」→「AppLocker」に戻って、緑の矢印が付いた「規則の実施の構成」を開く。開いたダイアログにある「実行可能ファイルの規則」の「構成済み」にチェックし、「規則の実施」を選択する。AppLocker側での作業は終了だ。だが、事前設定はもうひとつ必要だ。

この連載の記事
- 最終回 Windows 7を素早く操作できる新ショートカットキー
- 第19回 困ったときに活躍 7のトラブルシューティング機能
- 第18回 ネット上の情報も探せる! 強化された7の検索機能
- 第17回 付属アプリケーションが一新されたWindows 7
- 第16回 壁紙/解像度/ガジェット 細かく変更されたデスクトップ
- 第15回 標準でマルチタッチをサポートするWindows 7
- 第14回 仮想HDDに標準対応し、OS起動もできるようになった
- 第13回 XPアプリがWindows 7上でシームレスに動くXPモード
- 第12回 セキュリティーから役割が拡大 アクションセンター
- 第11回 HDD全体を保存する「バックアップ」が全エディションに
- 第10回 リモートメディアストリーミングで外から家にアクセス
- この連載の一覧へ