Windows 7プレビュー
第3回 ネットワークとセキュリティ機能

2.AppLockerとネットワーク機能

デジタルアドバンテージ 打越 浩幸
2009/06/11

AppLockerによるプログラムの実行禁止

 AppLockerは、特定のプログラムの実行を禁止したり、指定したバージョンや署名を持っているプログラムのみを実行できるようにしたりするなど、特に業務に不要なプログラムの実行などを制限するために利用できる機能である。従来のグループ・ポリシーでも、「ソフトウェアの制限のポリシー」を利用すれば、特定のファイル名やハッシュ値などに基づいて実行を禁止できたが(TIPS「業務に不要なプログラムの実行をグループ・ポリシーで禁止する」参照)、AppLockerはより柔軟で、多くの条件を使ってプログラムの実行を制御できる。

 AppLockerによるプログラムの実行制御は、ローカル・セキュリティ・ポリシーかグループ・ポリシーを使って行う。以下の画面は、ローカル・セキュリティ・ポリシーの起動画面である。[アプリケーション制御ポリシー]の[AppLocker]−[実行可能ファイルの規則]で、禁止したいプログラムのパス(フォルダ名)や実行ファイル名などの条件を作成する。ここではデフォルトの規則に加えて、\Program Files\Microsoft Games\の下にあるプログラム(ゲーム)の実行をすべて禁止するポリシーを定義している(一番下)。

AppLockerによるゲームの禁止例
AppLockerを使うと、特定の場所にあるプログラムやスクリプト、特定のバージョンやプロパティ、ハッシュ値を持つ実行ファイルなどの利用を禁止できる。
このポリシーで制御する。
ゲームの実行を禁止する規則の例。

 具体的な禁止規則の内容は次のとおりである。

実行禁止パスの定義例
ここではゲームのフォルダをすべて実行禁止にしている。
実行ファイルのパスを指定する。

 

禁止するファイルのフォルダ名。単一の実行ファイルだけを禁止することもできるし、このようにまとめて禁止することもできる。

 このポリシーが有効な場合、プログラムを実行させようとすると次のようなダイアログが表示され、ユーザーは利用することができない。

禁止されたプログラムの例
これはマインスイーパーを起動しようとしたところ。このようなメッセージが表示され、実行できない。

 Windows 7(およびWindows Server 2008 R2)のAppLockerでは、このようなパス名による禁止のほか、例えばバージョン・プロパティに含まれるベンダ名やバージョン番号に基づいて禁止したり(例:古いバージョンのプログラムの使用を禁止する)、特定のユーザーやグループに対してだけ許可/禁止する、実行を禁止するのではなく監査だけをする(特定のプログラムを使ったかどうかを監査する)、ルールのインポート/エクスポートなどの機能が強化されている。

BranchCacheによるローカル・サイトでのキャッシュ

 BranchCacheとは、子会社や支社など、帯域の細いWAN回線などで接続されたサイトにおいて、支社から本社へのアクセス(ファイル・サーバへのアクセスやWebサーバへのアクセス)をキャッシュして、ネットワークの(理論的な)接続速度を向上させるための機能である。

 例えば支社内に多数あるWindows 7のコンピュータが本社のサイトへアクセスする場合、通常は各コンピュータが独立して本社へとアクセスするが、これでは細いWAN回線がますます混雑してしまう。BranchCacheでは、最初の1台がアクセスした結果をローカルにキャッシュしておき、ほかのコンピュータはそのキャッシュからアクセスすることによって、高速化を実現している。

 キャッシュできるプロトコルとしてはSMBとHTTP/HTTPS(IPSecやSSL上でも可)がサポートされているし、この機能はWindows OSの基本部分に組み込まれているので、通常のWindows上で動作しているアプリケーションやサービス(Webアクセスやファイル・アクセス、BITSによる転送、WSUSの転送、Windows Media Playerを使った映像など)、ほとんどの場合にその恩恵を受けることができる。

 なおBranchCacheを利用するにはWindows Server 2008 R2がサーバ側として必要である。BranchCacheをサポートしたサーバからデータを(遅い回線経由で)受け取ると、Windows 7はそれをローカルにキャッシュし、必要ならそれをほかのコンピュータに対しても送信(発行)できるように準備する(ノード間はHTTPやWSD Distributed Scan Deviceプロトコルを使っているようである)。どの程度までローカルにキャッシュするかや、どこにキャッシュするかといった設定はグループ・ポリシーやnetsh branchcacheコマンドなどで行う。

 BranchCacheにはDistributed CacheモードとHosted Cacheモードという2つの運用形態がある。前者は、Windows 7だけでお互いにデータをキャッシュしてやり取りするモードであり、特別なサーバなどを用意しなくてもよいので手軽に利用できる。しかしその分、各コンピュータには若干の負荷がかかることになるし、コンテンツをキャッシュするためにいくらかのディスク容量が必要となる(デフォルトではディスク容量の5%程度までキャッシュする)。これに対してHosted Cacheモードはキャッシュ専用のサーバを用意するモードである。Windows Server 2008 R2をキャッシュ用サーバとして支社側に配置しておくと、このサーバがコンテンツのキャッシュやクライアント(支社内のWindows 7)からの要求に対すてサービスを行う。専用サーバを利用する分だけ、より多くのキャッシュ・サイズや高い性能が期待できる。

BranchCacheの設定画面
これはWindows Server 2008 R2側に用意されているBranchCacheの設定画面例。ここでは特定の共有フォルダに対してBranchCacheでの利用を許可しているが、グループ・ポリシーやコマンドライン・ツールなどで設定することも可能。キャッシュするサイズやどの程度の回線(応答時間)の場合にキャッシュするかといった設定は、グループ・ポリシーなどで行う必要がある。
これをオンにすると、BranchCacheモードが有効になる。コマンドラインで操作する場合は「net share Work /cache:branchcache」などのようにする。以前からある手動のキャッシュ機能(オフライン・キャッシュ)の拡張版のようなもの(もしくはLANで利用できるP2Pテクノロジ)と考えればよいだろうか。

ホームグループ

 Windows 7では家庭での用途向けに、新しく「ホームグループ」というネットワークの接続形態が導入された。これは従来の「ワークグループ」と「ドメイン」の中間のようなものと考えればよいだろうか。ドメインではどこか1カ所のアカウント情報を集中させて管理していたが、これはセットアップや運用が簡単ではない。一方ワークグループは、個別のコンピュータが単に一カ所に集まっているだけで、特に連携は考えられてはいなかった。すべてのコンピュータで同じユーザー名/パスワードを付けておけば、ほぼシームレスに利用できるが、これは連携とはいいがたい。

 Windows 7のホームグループは、家庭内のような閉じた環境において、より簡単に、データ(ファイルやマルチメディア・データなど)を共有させ、活用するための機能である。同一のホームグループに属しているコンピュータ同士は、「ライブラリ」などを使って簡単にデータを共有できるようになっている。ワークグループとドメインはどちらか一方だけしか使わない/使えなかったが、それらの設定を残したまま、ホームグループに入ってデータを共有する、ホームグループから離れて共有を停止する、といったことができる。「ライブラリ」は今までの「マイ ドキュメント」や「マイ ビデオ」などを束ねる仮想的な上位概念のフォルダであり、Windows 7では各種ドキュメントはデフォルトではこの場所に保存されることになっている。ホームグループではこのライブラリを簡単に共有できるようにして、データの共有や相互運用を図っている。

 以上、3回に渡ってWindows 7の機能の特徴的な概要について概観してきた。これ以外にもさまざまな機能を持つWindows 7であるが、概要編はここまでとする。ITPro向けの機能解説や開発者向けの機能、内部アーキテクチャなどに関する詳細などは、今後、より詳しく連載記事として解説を始める予定なので、お待ちいただきたい。 End of Article

 

 INDEX
  Windows 7 ベータプレビュー
  第1回 Vistaからさらに進化したWindows 7の新GUI
    1.シンプルになったデスクトップ画面とタスク・バー
    2.ウィンドウ切り替えと通知アイコン、UAC
  第2回 Windows XP Modeとディスク管理機能
    1.Windows XP Mode
    2.ディスク管理ツールの強化
  第3回 ネットワークとセキュリティ機能
    1.BitLocker To Go
  2.AppLockerとネットワーク機能

 「製品レビュー」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH