WES7でWindows 7の新機能「AppLocker」を使う!:Windows Embedded Standard 7概論(4)(1/2 ページ)
今回は、Windows 7から新たに提供されたセキュリティ機能「AppLocker」を、Windows Embedded Standard 7で活用する方法を紹介する。
連載第2回と第3回で「Windows Embedded Standard 7(以下、WES 7)」で刷新されたツール群について解説しました。
今回はWES7を使用して、最新デスクトップOS「Windows 7」で新たに加わったセキュリティ機能「AppLocker」を活用する方法を紹介します。
関連リンク: | |
---|---|
⇒ | 連載記事「Windows Embedded Standard 7概論」 |
実行できるアプリケーションを制御する「AppLocker」
Windows 7から新たに提供されたAppLockerを使用すると、“アプリケーションなどの実行可否を制御する”ことができます。
組み込み機器では、通常、特定のアプリケーションのみが実行されます。そのため、用途に関係のないアプリケーションや、動作に支障を来す可能性のあるアプリケーションを起動させないようにする必要があります。
今回紹介するAppLockerを活用することで、こうした制御を容易に実現することができます。
AppLockerの設定について
AppLockerは、“ローカルセキュリティポリシー機能”の1つです。
まずは、デスクトップOSの「Windows 7 Ultimateエディション」(注1)を例に、AppLockerの設定方法を紹介していきたいと思います。
スタートメニューの[プログラムとファイルの検索]ボックスで、「gpedit.msc」と入力し、[ローカル グループ ポリシー エディター]を起動してください。
左ペインにあるツリーの「コンピューターの構成」の項目を以下のように展開していくと(図1)、AppLockerの設定画面を表示することができます(図2)。
コンピューターの構成
└Windowsの設定
└セキュリティの設定
└アプリケーション制御ポリシー
└AppLocker
AppLockerでは、以下の3種類の規則を設定することができます。
- 実行可能ファイルの規則
- Windows インストーラの規則
- スクリプトの規則
なお、それぞれの規則の対象となる拡張子を以下に示します。
実行可能ファイル | exe、com |
---|---|
Windows インストーラ | msi、msp |
スクリプト | ps1、bat、cmd、vbs、js |
表1 対象拡張子 |
例えば、[実行可能ファイルの規則]では、実行されるアプリケーションが指定フォルダ内に存在するかどうかだけでなく、そのファイルを誰が実行したかといった条件も設定可能で、細やかな実行可否設定ができます。また、それらの条件を複数組み合わせることもできます。実際の設定方法に関しては後述します。
ただし、特に規則のチェック機構が存在するわけではありませんので、それぞれの設定が矛盾しないように気を付ける必要があります。
規則を作成したら、[規則の実施の構成]をクリックし、規則のコレクションが実施されるか、監査だけ行うかを設定します。
上記の設定が完了したら、AppLockerをつかさどる「Application Identity」サービスを起動します。サービスが起動すると設定された規則に基づいて、アプリケーションなどの実行可否が制御されます。
Windows Embedded Standard 7でAppLockerを使用する
ここからは、「Image Configuration Editor(以下、ICE)」を使用して、AppLocker機能を含むOSイメージを作成し、WES7上でAppLockerを実際に利用する手順を説明します。
なお、ICEに関する説明は、連載第3回「どこが変わった? 刷新されたWES7のツール【後編】」に詳しく記載していますのでそちらを参考にしてください。
(1)スタートメニューから[すべてのプログラム]―[Windows Embedded Standard 7]―[Image Configuration Editor]を選択し、ICEを起動します。
(2)[File]メニューから[New Answer File]を選択し、新しいAnswer Fileを作成します。
(3)[File]メニューから[Select Distribution Share…]を選択し、ターゲット機器にマッチしたDistribution ShareをICEに読み込ませます。
(4)[File]メニューから[Import]―[Import PMQ]を選択し、TAP.exeツールによりターゲット機器から収集したハードウェア情報を取り込みます。
(5)OSの要件に応じて、必要なコンポーネントをAnswer Fileに追加します。
ここでは、標準で付属しているApplication Compatibilityテンプレートを使用します。[Distribution Share]ペインのツリーを展開し、パッケージをダブルクリックしてAnswer Fileに追加してください。
- Application Compatigirite.xml([Templates]―[IBW])
(6)WES7上でAppLockerを使用するために、以下のコンポーネントをAnswer Fileに追加します。
[Distribution Share]ペインのツリーを展開し、パッケージをダブルクリックしてAnswer Fileに追加してください。
- Group Policy Managementコンポーネント([Packages]―[FeaturePack]―[Management]―[System Management])
- Application Security([Packages]―[FeaturePack]―[Security])
- Microsoft Management Console([Packages]―[FeaturePack]―[Management]―[System Management])
(7)依存関係のあるパッケージをAnswer Fileに追加します。
[Validate]メニューの[Add Required Packages]を選択してください。
(8)解決できなかった依存関係を手動で修正します。
[Messages]ペインの[Validation]タブを選択し、×印のついた項目をリスト上でダブルクリックしてください。
[Resolve Dependencies]ダイアログが表示されるので、必要なパッケージを選択し、未解決の依存関係を解決してください。
(9)再度、[Validate]メニューの[Add Required Packages]を選択してください。
(10)[Tools]メニューから[Create Media]―[Create IBW Image From Answer File…]を選択し、作成したAnswer Fileに基づくImage Builder Wizard(以下、IBW)のイメージを作成します。
(11)(10)で作成したIBWイメージをブート可能なUSBメモリに格納し、ターゲット機器をUSBブートさせ、WES7 OSイメージをターゲット機器に展開します。
展開後、ユーザー名などを登録し、デスクトップが表示されれば完了です。これでAppLockerを使用できる環境が整いました。
Copyright © ITmedia, Inc. All Rights Reserved.