none
セキュリティーの制限ポリシー*exe禁止 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    一般ユーザーのアカウントに対してセキュリティーの制限ポリシーで*.exe許可しないと設定して

    制限されないexeを指定してから

    再起動しました。

    するとセキュリティーの制限ポリシーで制限したユーザーアカウントがサインインできなくなりました。

    サインインにかかわる.exeファイルの起動が拒否されたのでしょうか。

    *.exeでexeファイルの起動を許可しないにしつつ、

    サインインできるようにする方法を教えてください。


    ※windows10 proを使用しているので、applockerではなく

    スナップインと追加の削除→グループポリシーオブジェクト→追加→ユーザー非管理者→

    ローカルコンピュータポリシー非管理者→ユーザーの構成→windowsの設定→セキュリティの設定→

    ソフトウェアの制限ポリシー→追加の規則で設定しています。

    2017年9月19日 2:01
    |

回答

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    セキュリティーの制限ポリシー」がわかりませんが、制限ポリシー関連で拡張子指定をしているところを見ると、アプリケーションの制御ポリシーにある「AppLocker」のことでしょうか?

    右クリックして「既定の制限ポリシー」を作成したのち、拒否するルール「*.exe」の例外にその規定のルールを追加してみてはどうでしょうか。

    例えば、

    %PROGRAMFILES%\*
    %WINDIR%\*

    あたりを例外に入れます。

    2017年9月19日 2:34
    |
  • Question
    サインインして投票
    0
    サインインして投票

    試してみましたが、同じ状態で、サインインできませんでした。

    windows10 proをしようしています。

    2017年9月20日 10:05
    |
  • Question
    サインインして投票
    0
    サインインして投票

    すいません。どうやらapplocker が表示できていない状態でした。とりあえず、

    applockerを表示できるようになったら質問します。

    2017年9月20日 11:13
    |
  • Question
    サインインして投票
    0
    サインインして投票

    applockerは表示はいちおう表示されますが、

    windows10 proだと使えないらしいです。

    ですので、自分が設定していたのはapplockerではありませんでした。(ずっとapplokcerだと勘違いしていました。)

    スナップインと追加の削除→グループポリシーオブジェクト→追加→ユーザー非管理者→

    ローカルコンピュータポリシー非管理者→ユーザーの構成→windowsの設定→セキュリティの設定→

    ソフトウェアの制限ポリシー→追加の規則で設定していました。この設定方法で

    上の質問分の回答をお願いします。

    2017年9月20日 12:21
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ソフトウェアの制限ポリシーに「例外はない」ということなので、重複適用された結果、*.exe の禁止の方が優先されるのでしょう。
    *.exe をルールに追加するのをやめてください。

    どちらかといえば、既定のセキュリティレベル を理解することから始めるべきでしょうね。

    2017年9月20日 13:59
    |
  • Question
    サインインして投票
    0
    サインインして投票

     > この設定方法で上の質問分の回答をお願いします。

    まず、ソフトウェアの制限ポリシーで「*.exe」を指定した場合、ご認識の通りの動きになってしまいます。

    優先順位的には

    ハッシュの制限で許可しない>ハッシュの制限で制限しない>パスの規則で許可しない>パスの規則で制限しない」

    となっているようですが、この辺り公式のドキュメントは見当たらないですね…。仮にこの通り動いたとしても、システムで必要なファイルのハッシュを列挙するわけにもいかないです。おすすめはできません。例外もサポートしていません。

    ソフトウェア制限ポリシーの技術概要
    https://technet.microsoft.com/ja-jp/library/hh994620(v=ws.11).aspx

    applocker は

     [コンピューターの構成](ユーザー - 非管理者 で指定した場所ではありません) - [Windowsの設定] - [セキュリティの設定] - [アプリケーションの制御ポリシー] - AppLocker にあります。

    また、まずはグループポリシーではなく、適当な端末のローカルポリシー (gpedit.msc) で設定して試してみることをお勧めします。また、事前にクライアントの「Application Identity」サービスを自動起動にしておく必要があります。

    ■ 追記

    …が、

    AppLocker を使用するための要件
    https://docs.microsoft.com/ja-jp/windows/device-security/applocker/requirements-to-use-applocker

    AppLocker CSP を使って、Windows 10 のすべてのエディションで AppLocker ポリシーを構成することができます。

    とのことです。

    残念ながら、Windows 10 Pro ではグループポリシーでの管理はできないようです。

    Azurenさんのコメントの通り、既定のセキュリティレベル([ソフトウェアの制限のポリシー] - [セキュリティレベル] )から[許可しない]を既定にして、使うものと動作に影響のある実行ファイルだけを追加の規則に入れるのが良いかもしれませんね。

    2017年9月21日 5:22
    |
  • Question
    サインインして投票
    0
    サインインして投票

    そのようにします。

    ありがとうございました。

    2017年9月21日 23:48
    |