Windows AppLocker - 実は VDI と相性の良い、超便利機能
みなさんは「AppLocker」をご存じでしょうか?
Windows 7 あたりから搭載されている新機能で、Active Directory グループポリシーと連動し、実行可能な exe ファイルを AD ユーザーやグループなどの単位で統合的に制御することができる技術です。
- @IT - Windows 7のAppLockerで特定のプログラムを実行禁止にする
http://www.atmarkit.co.jp/ait/articles/1001/08/news123.html - ASCII.jp - 指定したアプリの起動を禁止する新機能 AppLocker
http://ascii.jp/elem/000/000/471/471462/ - Microsoft TechNet - AppLocker の技術概要
https://technet.microsoft.com/ja-jp/library/hh831440.aspx - Microsoft TechNet - Windows くらいあんと通信 - AppLocker で標準外アプリケーションの利用を制御する http://blogs.technet.com/b/wincltjp/archive/2010/06/24/windows-7-applocker-1.aspx
私は AppLocker には結構な思い入れがあり、以前執筆した下記の記事では
「ユーザーにスクリーンショットを撮らせない」方法の一例として AppLocker を使いました。 ※この記事は書いていて本当に楽しかったので、Tips 系が好きな方はぜひ読んでみてください。
@IT - 第2回 Windows Thin PCを“本物の”シンクライアントに仕上げる
http://www.atmarkit.co.jp/ait/articles/1202/16/news129.html
意外と仮想デスクトップと相性の良い AppLocker
上記記事ではシンクライアントソリューションの「ローカル」端末側で AppLocker を活用していますが、「リモート」端末側、つまり仮想デスクトップ側で利用することが増えてきました。
5 年くらい遅れてブームが来た感じで、相当時間を費やしたにもかかわらず AppLocker の存在自体を忘れかけていたのですが、よくよく考えると、たしかに VDI 系と相性が非常に良いですね。
- 社内ネットワークに常時接続されており、GPO を適用しそびれることがない
- SA や VDA を契約しており、Enterprise エディションを利用できる
- シングルイメージ を利用したいところだが、全員分ライセンスを買っていないし*1、マスタイメージの数も極力減らしたい
FRS → DFS-R に大幅強化されたように、SRP → AppLocker に大幅強化されたわけですが、いまいち使っている方は少なそうでとてももったいないです。
クライアント系 Windows、特にデプロイメント系って標準機能や無償ツールがかなりしっかり作られているんですよね。MDTとか。。。もっと広まればよいなぁと感じています。
MS さんも、まさか VDI で注目を浴びることになるとは思わなかったのではないでしょうか!?
Windows 10 では Thin PC が統合された!?
そうそう、前述の Windows Thin PC ですが、Windows 10 では別バイナリではなくなり、標準搭載されました。
ITmedia - 第5回 「Windows 10」で“PC持ち出し”が安全になる?
http://www.itmedia.co.jp/enterprise/articles/1602/08/news019.html
これまでは「Windows 7 とは異なる OS」とみなされてアプリのサポート窓口で問題が生じるケースがありましたが、これからはより使いやすくなりそうです。
こちらにも再ブームが来たら、またどこかで Tips をご紹介しようと思います。
*1:AppLocker 利用時のライセンスカウントはメーカーによって異なります