AppLocker を使用して、アプリケーションの実行制御をする場合の、設定反映が行われているかの確認のポイントのメモを。
AppLocker ですが、設定を行っていると、設定が反映されていおらず、動作確認がうまくできないということがちょいちょいあるかと。
AppLocker の設定を行う場合、
- 設定しているルール
- 反映されている (効果が有効な) ルール
の 2 種類のルールの状態を意識しておく必要があります。
両ルールともに、Get-AppLockerPolicy で確認をすることができます。
設定しているルールについては、「-Local」「?Domain」オプションを、実際に反映されており有効なポリシーについては 「?Effective」オプションを設定することで確認できます。
そのため、ポリシーが正常に反映されているかどうかについては「-Effective」オプションを設定して確認をするとよいかと思います。
また、AppLocker については、専用のイベントログが用意されています。
AppLocker でのイベント ビューアーの使用
動作の状況については「Microsoft/Windows/AppLocker」のイベントログを確認するとよいかと思います。
AppLocker のポリシーの設定については AppLocker の設定 で記載されていますが、実際に反映されている項目については、「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2」に設定が行われます。
ルールとして定義されているものについては「HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects」に設定が行われている状態となるようなので、以下の二つのレジストリを確認して、ルールとして設定されているものと、実際に反映されているものの確認をするとよいのかと思います。
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2
設定変更をしてから反映される、数分のタイムラグがあるようですのでうまく設定が反映されないような場合は、グループポリシーの AppLocker のプロパティを開いて、「構成済み」のオン/オフを一度変えてみたりするような、設定変更を行うのもよいかと思います。
AppLocker はサービスの起動状態とルールの設定のタイミングに気を付けておく必要があるため、Problem: AppLocker Rules Still Enforced After the Service is Stopped の情報も確認しておくとよいです。