この計画記事では、AppLocker を使用するときにプランに含める必要がある内容について説明します。
結果を記録する
この AppLocker 計画ドキュメントを完了するには、まず次の手順を完了する必要があります。
AppLocker ポリシーのグループ ポリシー オブジェクト (GPO) を構成する方法を決定したら、結果を記録する必要があります。 次の表を使用して、作成 (または編集) する GPO の数と、リンク先のオブジェクトを決定できます。 システム ファイルの実行を許可するカスタムルールを作成する場合は、「既定のルールを 使用するか、新しいルール条件を定義 する」列の大まかなルール構成に注意してください。
次の表には、適用設定を決定したときに収集されたサンプル データと、AppLocker ポリシーの GPO 構造が含まれています。
| ビジネス グループ | 組織単位 | AppLocker を実装しますか? | アプリ | インストール パス | 既定のルールを使用するか、新しいルール条件を定義する | 許可または拒否 | GPO 名 |
|---|---|---|---|---|---|---|---|
| 銀行窓口 | Teller-East と Teller-West | はい | Teller Software | C:\Program Files\Woodgrove\Teller.exe | ファイルは署名されています。発行元の条件を作成する | 許可 | Tellers-AppLockerTellerRules |
| Windows ファイル | C:\Windows | \Windows\Temp を除外する既定のルールへのパス例外を作成する | 許可 | ||||
| 人的資源 | HR-All | はい | 支払いを確認する | C:\Program Files\Woodgrove\HR\Checkcut.exe | ファイルは署名されています。発行元の条件を作成する | 許可 | HR-AppLockerHRRules |
| タイム シート オーガナイザー | C:\Program Files\Woodgrove\HR\Timesheet.exe | ファイルが署名されていません。ファイル ハッシュ条件を作成する | 許可 | ||||
| インターネット エクスプローラー 7 | C:\Program Files\Internet エクスプローラー | ファイルは署名されています。発行元の条件を作成する | 拒否 | ||||
| Windows ファイル | C:\Windows | Windows パスに既定の規則を使用する | 許可 |
次のステップ
各ビジネス グループのアプリのグループ ポリシー構造とルール適用戦略を決定した後、次のタスクが残ります。