AppLocker

  • [アーティクル]

このトピックでは、AppLocker について説明します。また、組織が AppLocker アプリケーション制御ポリシーの展開によって恩恵を得られるかどうかを決定するために役立てることもできます。AppLocker を使用すると、ユーザーが実行できるアプリとファイルを制御できます。これらには、実行形式ファイル、スクリプト、Windows インストーラー ファイル、ダイナミックリンク ライブラリ (DLL)、パッケージ アプリ、パッケージ アプリのインストーラーが含まれています。

AppLocker は次の操作に役立ちます。

  • 発行元の名前 (デジタル署名から派生)、製品名、ファイル名、ファイル バージョンなどのアプリの更新の間で保持されるファイル属性に基づいて規則を定義します。ファイル パスやハッシュに基づいて規則を作成することもできます。

  • セキュリティ グループまたは個々のユーザーに規則を割り当てます。

  • 規則の例外を作成します。たとえば、レジストリ エディター (regedit.exe) を除くすべての Windows バイナリの実行をすべてのユーザーに許可する規則を作成することができます。

  • ポリシーの展開には監査のみのモードを使用して、適用する前に影響を把握します。

  • ステージング サーバー上に規則を作成し、テストしてから、運用環境にエクスポートして、グループ ポリシー オブジェクトにインポートします。

  • Windows PowerShell を使用して AppLocker の規則の作成と管理を簡略化します。

AppLocker を使用すると、管理オーバーヘッドを削減でき、ユーザーが実行している承認されていないアプリに起因するヘルプ デスクへの問い合わせ数が減少することによって組織のコンピューティング リソースの管理コストを削減できます。AppLocker は次のアプリ セキュリティ シナリオに対応します。

  • アプリケーション インベントリ

    AppLocker には、すべてのアプリ アクセス アクティビティがイベント ログに登録されている場合、監査のみのモードでそのポリシーを強制的に適用する機能があります。さらに詳しい分析のために、これらのイベントを収集することができます。Windows PowerShell コマンドレットも、このデータをプログラムで分析するために役立ちます。

  • 望ましくないソフトウェアに対する保護

    AppLocker には、許可されたアプリの一覧からアプリを除外した場合、その実行を拒否する機能があります。AppLocker の規則を運用環境で適用した場合、許可された規則に含まれていないアプリはすべて実行できなくなります。

  • ライセンス準拠

    AppLocker を使用すると、ライセンスされていないソフトウェアを実行しないようにし、ライセンスされているソフトウェアを承認されているユーザーに限定する規則を作成できます。

  • ソフトウェアの標準化

    AppLocker ポリシーは、ビジネス グループ内のコンピューターでの実行がサポートされているか、承認されているアプリのみを許可するように構成できます。これによって、さらに一貫性のあるアプリの展開が可能になります。

  • 管理のやりやすさの向上

    AppLocker では、その前身であるソフトウェアの制限のポリシーと比較して、管理状態において多くの点が強化されています。ソフトウェアの制限のポリシーからの強化点の一部としては、インポートおよびエクスポート ポリシー、複数のファイルからの規則の自動生成、監査のみのモードの展開、Windows PowerShell コマンドレットがあります。

新機能と変更された機能

Windows 10 の AppLocker の新着情報については、「AppLocker の新着情報」を参照してください。

AppLocker を使用するタイミング

多くの組織において、情報は最も重要な資産であり、承認されたユーザーのみがその情報にアクセスすることが重要です。Active Directory Rights Management サービス (AD RMS)、アクセス制御リスト (ACL) などのアクセス制御テクノロジは、ユーザーがアクセスを許可される内容の制御に役立ちます。

ただし、ユーザーがプロセスを実行する場合、そのプロセスはユーザーが所有するデータと同じアクセス レベルになります。この結果、ユーザーが故意にまたは気づかずに悪意のあるソフトウェアを実行すると、重要情報が簡単に削除されたり、組織外に送信されたりする可能性があります。AppLocker を使用すると、ユーザーまたはグループが実行を許可されるファイルを制限することによってこれらの種類のセキュリティ侵害を軽減できます。

ソフトウェアの発行元は、管理者以外のユーザーがインストールできるさらに多くのアプリを作成しつつあります。これは、組織の作成済みのセキュリティ ポリシーを危険にさらしたり、ユーザーがアプリをインストールできないことを利用した従来のアプリ制御ソリューションが機能しなくなる可能性があります。承認されたファイルとアプリの許可リストを作成することにより、AppLocker はこのようなユーザーを単位とするアプリの実行を防ぐために役立ちます。AppLocker は DLL を制御できるため、ActiveX コントロールをインストールして実行できるユーザーを制御するのにも役立ちます。

AppLocker は、PC を管理するためにグループ ポリシーを現在使用している組織に適しています。

AppLocker を使用できるシナリオの例を次に示します。

  • 組織のセキュリティ ポリシーにはライセンスされたソフトウェアのみを使用するよう定義されているため、ライセンスされていないソフトウェアをユーザーが実行しないようにする必要があり、ライセンスされたソフトウェアの使用を承認されたユーザーに制限する必要もある。

  • アプリが組織でサポートされなくなったため、すべてのユーザーがこのアプリを使用できないようにする必要がある。

  • 望ましくないソフトウェアが環境に入り込む可能性は高いため、この脅威を軽減する必要がある。

  • アプリのライセンスが失効したか、組織で期限切れになっているため、すべてのユーザーの使用を防ぐ必要がある。

  • 新しいアプリまたはアプリの新しいバージョンが展開され、ユーザーの以前のバージョンの実行を防ぐ必要がある。

  • 組織内では特定のソフトウェア ツールが許可されない、または特定のユーザーのみがそれらのツールにアクセスする必要がある。

  • 一般ユーザーが使用できないアプリを、単一のユーザーまたは小規模グループのユーザーが使用できるようにする必要がある。

  • 組織の一部のコンピューターはソフトウェアの使用法のニーズが異なるユーザーで共有されており、特定のアプリを保護する必要がある。

  • その他の手段に加え、アプリを使った重要なデータへのアクセスを制御する必要があります。

AppLocker を使用すると、組織内のデジタル資産を保護し、環境に導入された悪意のあるソフトウェアの脅威を軽減して、アプリケーション制御の管理とアプリケーション制御ポリシーのメンテナンスを強化できます。

システム要件

AppLocker ポリシーは、サポートされているバージョンおよびエディションの Windows オペレーティング システムを実行しているコンピューターでのみ、構成と適用が可能です。AppLocker ポリシーを含むグループ ポリシー オブジェクトを配布するにはグループ ポリシーが必要です。詳細については、「AppLocker を使用するための要件」を参照してください。

AppLocker の規則はドメイン コントローラーで作成できます。

AppLocker のインストール

AppLocker は、Windows のエンタープライズレベルのエディションに含まれています。1 台のコンピューターまたはコンピューターのグループを対象として、AppLocker の規則を作成することができます。1 台のコンピューターの場合は、ローカル セキュリティ ポリシー エディター (secpol.msc) を使用して、規則を作成できます。コンピューターのグループの場合は、グループ ポリシー管理コンソール (GPMC) を使用して、グループ ポリシー オブジェクト内で規則を作成できます。

  

GPMC は、リモート サーバー管理ツールをインストールするだけで Windows を実行しているクライアント コンピューターで利用できます。Windows Server を実行しているコンピューターには、グループ ポリシー管理機能をインストールする必要があります。

 

Server Core での AppLocker の使用

サーバー コアでの AppLocker のインストールはサポートされていません。

仮想化に関する考慮事項

前に示したすべてのシステム要件を満たしていれば、Windows の仮想化されたインスタンスを使用して AppLocker ポリシーを管理できます。グループ ポリシーを仮想化されたインスタンスで実行することもできます。ただし、仮想化されたインスタンスが削除されるか、失敗すると、作成および管理したポリシーが失われる危険があります。

セキュリティに関する考慮事項

アプリケーション制御ポリシーで、ローカル コンピューターでの実行を許可するアプリを指定します。

悪意のあるソフトウェアにはさまざまなフォームがあるため、実行しても安全なものをユーザーが知ることが難しくなっています。アクティブ化された場合、悪意のあるソフトウェアは、ハード ディスク ドライブのコンテンツを破損し、ネットワークに大量の要求を送りつけてサービス拒否 (DoS) 攻撃を発生させ、インターネットに機密情報を送信し、コンピューターのセキュリティに危害を与える可能性があります。

対策は、組織の PC でアプリケーション制御ポリシーの適正な設計を作成し、運用環境で展開する前にラボ環境で徹底的にテストすることです。コンピューター上で実行を許可するソフトウェアを制御できるため、AppLocker はアプリ制御戦略の一部となります。

欠陥のあるアプリケーション制御ポリシーを実装すると、必要なアプリケーションが無効になったり、悪意のある、または意図されていないソフトウェアの実行を許可する可能性があります。したがって、組織はこれらのポリシーの実装の管理とトラブルシューティングに十分なリソースを割り当てることが重要です。

特定のセキュリティの問題の詳細については、「AppLocker のセキュリティに関する考慮事項」を参照してください。

AppLocker を使ってアプリケーション制御ポリシーを作成する場合は、次のセキュリティに関する考慮事項に注意する必要があります。

  • だれが AppLocker ポリシーの設定権限を持っていますか?

  • ポリシーが適用されていることを検証するにはどうすればよいですか?

  • どのイベントを監査する必要がありますか?

セキュリティ計画の参考として、次の表に AppLocker がインストールされている PC のベースライン設定を示します。

設定 既定値

作成されたアカウント

なし

認証方法

適用なし

管理インターフェイス

AppLocker は、Microsoft 管理コンソール スナップイン、グループ ポリシーの管理、Windows PowerShell を使用して管理できます。

開かれているポート

なし

最低限必要な特権

ローカル コンピューターの管理者、ドメイン管理者、またはグループ ポリシー オブジェクトの作成、編集、配布を許可する、任意の一連の権限。

使用するプロトコル

適用なし

スケジュールされたタスク

Appidpolicyconverter.exe をオンデマンドで実行するスケジュールされたタスクに配置します。

セキュリティ ポリシー

必要ありません。AppLocker でセキュリティ ポリシーが作成されます。

必要なシステム サービス

アプリケーション ID サービス (appidsvc) は LocalServiceAndNoImpersonation で実行されます。

資格情報の保存スペース

なし

 

このセクションの内容

トピック 説明

AppLocker の管理

IT 担当者向けのこのトピックでは、AppLocker ポリシーを管理するときに使用する具体的な手順へのリンクを提供します。

AppLocker 設計ガイド

この IT 担当者向けのガイドでは、AppLocker を使用してアプリケーション制御ポリシーを展開するために必要な設計と計画の手順を示します。

AppLocker 展開ガイド

IT 担当者向けのこのトピックでは、AppLocker ポリシーの概念を紹介すると共に、ポリシーを展開するための手順について説明します。

AppLocker テクニカル リファレンス

IT 担当者向けのこの概要トピックでは、テクニカル リファレンス トピックへのリンクを提供します。