ITmedia NEWS >
レビュー
» 2009年08月25日 13時00分 UPDATE

Windows 7のアップグレードは? セキュリティは? 4つの疑問を検証する (5/7)

[Andrew Garcia,eWEEK]
eWEEK

 Windows 7 UltimateとEnterpriseには、UACを補完する興味深い機能がある。「AppLocker」(XPとVistaの「Software Restrictions Policies」の後継機能)と呼ばれており、アプリケーションをホワイトリスト化する、つまりコンピュータ上で実行するアプリケーションを具体的に許可できる。ユーザーあるいは管理者は、許可されたアプリケーションの実行のみを認めるポリシーを策定でき、ほかのアプリケーションは(マルウェアだろうと、単に認証されていないコードだろうと)起動できなくなる。

 AppLockerポリシーの管理は、MicrosoftのおなじみのGroup Policyアーキテクチャで行う。Group Policyエディターを使うと、既存のポリシーを確認し、新しいポリシーを作成できる。ポリシーを施行するか、あるいは単にユーザーが新しいセキュリティ方針に違反するアプリケーションを使っていないか監査するかも決められる。

 AppLockerでは、アプリケーションコードは3つのカテゴリーに分けられ(Windows実行可能コード、Windowsインストーラ、スクリプト)、それぞれ別々に設定しなければならない。あるカテゴリーにはポリシーを施行し、別のカテゴリーは監査のみにするという選択も可能だ。

 アプリケーションの認証方法は幾つかある。きめ細かくアプリケーションを識別するために、アプリケーションのハッシュ(認定されていないアプリケーションには最適な方法だ)、(署名済みアプリケーションの)パブリッシャー、または実行可能ファイルのファイルシステムパス(ファイルあるいはフォルダへのパス)に基づいて実行を許可するかどうかのポリシーを策定することもできる。

 Windows 7ではGroup Policyエディターに簡単なルール作成方法が幾つか用意されているため、取っつきやすくなっている。ワンクリックでデフォルトのルールを作成して、基本ルールとして設定することができる。基本ルールの下では、WindowsおよびProgram Filesディレクトリのプログラムは誰でも実行でき、ローカルの管理者はすべてのファイルを実行できる。

 こうした利用の仕方だと、UACと最小権限コンピューティングがうまく連係する。権限を制限されたユーザーが許可されたフォルダのプログラムしか実行できないようAppLockerで設定して、UACの厳格なモードを施行してユーザーによるこれらフォルダへの書き込みを禁止したら、ソーシャルエンジニアリング攻撃で不正なコードをインストールさせるのは難しくなる。

 もっと細かな設定をする場合、管理者は自動的にルールを生成できる。例えば、フォルダ(Program Filesなど)を指定すると、ウィザードが適切な種類の実行可能ファイルをすべて識別し、ハッシュかパスに基づいてポリシーを設定する。デジタル署名付きのプログラムのみの実行を許可すれば、ポリシーの範囲をさらに制限できる。

 こうした詳細なルールの方が効果的で制限が厳しいが、メンテナンスの手間もかかることに留意しておくべきだ。パッチやアップグレードによって、ポリシー設定の刷新が必要になる。

 AppLockerの潜在的な問題の1つが、Application Identityサービスという特別なサービスの実行が必要になるという点だ。まず、管理者はこのサービスが自動的に起動し、動作し続けるようにしなくてはならない。セキュリティ企業は通常、重要なセキュリティサービスが攻撃に遭っても持ちこたえられるよう、追加の保護を提供しているが、WindowsがApplication Identityでそうした対策を取っているのかは分からない。Application Identityサービスは動作していないが、AppLockerポリシーは動いているという場合は、同サービスが動作しているかが分かりにくい。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.