連載
» 2011年04月18日 12時30分 UPDATE

Windows Embedded Standard 7概論(4):WES7でWindows 7の新機能「AppLocker」を使う! (1/2)

今回は、Windows 7から新たに提供されたセキュリティ機能「AppLocker」を、Windows Embedded Standard 7で活用する方法を紹介する。

[中田佳孝(安川情報システム),@IT MONOist]

 連載第2回第3回で「Windows Embedded Standard 7(以下、WES 7)」で刷新されたツール群について解説しました。

 今回はWES7を使用して、最新デスクトップOS「Windows 7」で新たに加わったセキュリティ機能「AppLocker」を活用する方法を紹介します。


実行できるアプリケーションを制御する「AppLocker」

 Windows 7から新たに提供されたAppLockerを使用すると、“アプリケーションなどの実行可否を制御する”ことができます。

 組み込み機器では、通常、特定のアプリケーションのみが実行されます。そのため、用途に関係のないアプリケーションや、動作に支障を来す可能性のあるアプリケーションを起動させないようにする必要があります。

 今回紹介するAppLockerを活用することで、こうした制御を容易に実現することができます。

AppLockerの設定について

 AppLockerは、“ローカルセキュリティポリシー機能”の1つです。

 まずは、デスクトップOSの「Windows 7 Ultimateエディション」(注1)を例に、AppLockerの設定方法を紹介していきたいと思います。

※注1:AppLockerは、Windows Server 2008 R2の全てのエディション、またはWindows 7 Ultimate/Enterpriseエディションで使用可能です。Windows 7 Professionalエディションでは、規則の作成のみ可能で、規則の適用はできません。


 スタートメニューの[プログラムとファイルの検索]ボックスで、「gpedit.msc」と入力し、[ローカル グループ ポリシー エディター]を起動してください。

 左ペインにあるツリーの「コンピューターの構成」の項目を以下のように展開していくと(図1)、AppLockerの設定画面を表示することができます(図2)。

コンピューターの構成

└Windowsの設定

 └セキュリティの設定

  └アプリケーション制御ポリシー

   └AppLocker



ローカルコンピューターポリシーのツリー 図1 ローカルコンピューターポリシーのツリー
AppLockerの設定 図2 AppLockerの設定

 AppLockerでは、以下の3種類の規則を設定することができます。

  • 実行可能ファイルの規則
  • Windows インストーラの規則
  • スクリプトの規則

 なお、それぞれの規則の対象となる拡張子を以下に示します。

実行可能ファイル exe、com
Windows インストーラ msi、msp
スクリプト ps1、bat、cmd、vbs、js
表1 対象拡張子

 例えば、[実行可能ファイルの規則]では、実行されるアプリケーションが指定フォルダ内に存在するかどうかだけでなく、そのファイルを誰が実行したかといった条件も設定可能で、細やかな実行可否設定ができます。また、それらの条件を複数組み合わせることもできます。実際の設定方法に関しては後述します。

 ただし、特に規則のチェック機構が存在するわけではありませんので、それぞれの設定が矛盾しないように気を付ける必要があります。

 規則を作成したら、[規則の実施の構成]をクリックし、規則のコレクションが実施されるか、監査だけ行うかを設定します。

 上記の設定が完了したら、AppLockerをつかさどる「Application Identity」サービスを起動します。サービスが起動すると設定された規則に基づいて、アプリケーションなどの実行可否が制御されます。

Windows Embedded Standard 7でAppLockerを使用する

 ここからは、「Image Configuration Editor(以下、ICE)」を使用して、AppLocker機能を含むOSイメージを作成し、WES7上でAppLockerを実際に利用する手順を説明します。

 なお、ICEに関する説明は、連載第3回「どこが変わった? 刷新されたWES7のツール【後編】」に詳しく記載していますのでそちらを参考にしてください。

(1)スタートメニューから[すべてのプログラム]―[Windows Embedded Standard 7]―[Image Configuration Editor]を選択し、ICEを起動します。

(2)[File]メニューから[New Answer File]を選択し、新しいAnswer Fileを作成します。

(3)[File]メニューから[Select Distribution Share…]を選択し、ターゲット機器にマッチしたDistribution ShareをICEに読み込ませます。

(4)[File]メニューから[Import]―[Import PMQ]を選択し、TAP.exeツールによりターゲット機器から収集したハードウェア情報を取り込みます。

(5)OSの要件に応じて、必要なコンポーネントをAnswer Fileに追加します。

 ここでは、標準で付属しているApplication Compatibilityテンプレートを使用します。[Distribution Share]ペインのツリーを展開し、パッケージをダブルクリックしてAnswer Fileに追加してください。

  • Application Compatigirite.xml([Templates]―[IBW])

(6)WES7上でAppLockerを使用するために、以下のコンポーネントをAnswer Fileに追加します。

 [Distribution Share]ペインのツリーを展開し、パッケージをダブルクリックしてAnswer Fileに追加してください。

  • Group Policy Managementコンポーネント([Packages]―[FeaturePack]―[Management]―[System Management])
  • Application Security([Packages]―[FeaturePack]―[Security])
  • Microsoft Management Console([Packages]―[FeaturePack]―[Management]―[System Management])

(7)依存関係のあるパッケージをAnswer Fileに追加します。

 [Validate]メニューの[Add Required Packages]を選択してください。

(8)解決できなかった依存関係を手動で修正します。

 [Messages]ペインの[Validation]タブを選択し、×印のついた項目をリスト上でダブルクリックしてください。

 [Resolve Dependencies]ダイアログが表示されるので、必要なパッケージを選択し、未解決の依存関係を解決してください。

(9)再度、[Validate]メニューの[Add Required Packages]を選択してください。

(10)[Tools]メニューから[Create Media]―[Create IBW Image From Answer File…]を選択し、作成したAnswer Fileに基づくImage Builder Wizard(以下、IBW)のイメージを作成します。

(11)(10)で作成したIBWイメージをブート可能なUSBメモリに格納し、ターゲット機器をUSBブートさせ、WES7 OSイメージをターゲット機器に展開します。

 展開後、ユーザー名などを登録し、デスクトップが表示されれば完了です。これでAppLockerを使用できる環境が整いました。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.