AppLocker とは
IT 担当者向けのこのトピックでは、AppLocker の概要と、ソフトウェアの制限のポリシーとの機能の違いについて説明します。
AppLocker は、ソフトウェア制限ポリシーのアプリ制御機能を強化したものです。AppLocker に含まれる新機能と拡張機能を使用すると、ファイルの一意の ID に基づいてアプリの実行を許可または拒否するルールや、それらのアプリを実行できるユーザーまたはグループを指定するルールを作成できます。
AppLocker を使うと、次の操作を行うことができます。
アプリを制御します。制御できるアプリの種類は、実行可能ファイル (.exe、.com)、スクリプト (.js、.ps1、.vbs、.cmd、.bat)、Windows インストーラー ファイル (.mst、.msi、.msp)、DLL ファイル (.dll、.ocx)、パッケージ アプリとパッケージ アプリのインストーラー (appx) です。
デジタル署名から抽出されたファイル属性 (発行元、製品名、ファイル名、ファイル バージョンなど) に基づいて規則を定義する。たとえば、更新を繰り返しても永続的に維持される発行元属性に基づいて規則を作成したり、特定のファイル バージョンを対象とする規則を作成したりできます。
セキュリティ グループまたは個々のユーザーに規則を割り当てる。
規則の例外を作成する。たとえば、レジストリ エディター (Regedit.exe) を除くすべての Windows プロセスの実行を許可する規則を作成できます。
監査のみモードを使ってポリシーを展開し、実際に実施する前に影響を把握する。
規則をインポートおよびエクスポートする。インポートおよびエクスポートはポリシー全体に影響します。たとえば、ポリシーをエクスポートすると、すべての規則のコレクションからのすべての規則 (規則のコレクションの実施設定を含む) がエクスポートされます。ポリシーをインポートすると、既存のポリシーに含まれるすべての条件が上書きされます。
Windows PowerShell コマンドレットを使って、AppLocker 規則の作成と管理を効率化する。
AppLocker を使うと、未承認のアプリを実行しているユーザーによるヘルプ デスクへの問い合わせ件数を減らすことができます。これは、管理オーバーヘッドを軽減し、コンピューティング リソースの管理にかかる組織のコストを削減するために役立ちます。
AppLocker で対応できるアプリケーション制御のシナリオについては、「AppLocker ポリシーの使用シナリオ」をご覧ください。
ソフトウェアの制限のポリシーと AppLocker の機能の違い
機能の違い
次の表では、AppLocker とソフトウェアの制限のポリシーを比較します。
| 機能 | ソフトウェアの制限のポリシー | AppLocker |
|---|---|---|
規則のスコープ |
すべてのユーザー |
特定のユーザーまたはグループ |
提供される規則の条件 |
ファイル ハッシュ、パス、証明書、レジストリ パス、インターネット ゾーン |
ファイル ハッシュ、パス、発行元 |
提供される規則の種類 |
セキュリティ レベルで定義されます。
|
許可および拒否 |
既定の規則の操作 |
制限しない |
暗黙の拒否 |
監査のみモード |
× |
○ |
複数の規則を一度に作成するウィザード |
× |
○ |
ポリシーのインポートまたはエクスポート |
× |
○ |
規則のコレクション |
× |
○ |
Windows PowerShell のサポート |
× |
○ |
カスタム エラー メッセージ |
× |
○ |
アプリケーション制御機能の違い
次の表では、ソフトウェアの制限のポリシー (SRP) と AppLocker のアプリケーション制御機能を比較します。
| アプリケーション制御機能 | SRP | AppLocker |
|---|---|---|
オペレーティング システムのスコープ |
SRP ポリシーは、Windows XP および Windows Server 2003 以降のすべての Windows オペレーティング システムに適用できます。 |
AppLocker ポリシーは、「AppLocker を使用するための要件」に記載されている、サポートされているオペレーティング システムのバージョンとエディションにのみ適用されます。ただし、これらのシステムでは SRP も使用できます。 注SRP と AppLocker の規則には、それぞれ異なる GPO を使用します。 |
ユーザー サポート |
SRP では、ユーザーが管理者としてアプリケーションをインストールできます。 |
AppLocker ポリシーはグループ ポリシーで管理され、デバイスの管理者だけが AppLocker ポリシーを更新できます。 エラー メッセージをカスタマイズして、ヘルプの Web ページをユーザーに表示できます。 |
ポリシーの保守 |
SRP ポリシーは、ローカル セキュリティ ポリシー スナップインまたはグループ ポリシー管理コンソール (GPMC) を使って更新します。 |
AppLocker ポリシーは、ローカル セキュリティ ポリシー スナップインまたは GPMC を使って更新します。 AppLocker では、管理と保守に役立つ少数の PowerShell コマンドレットがサポートされます。 |
ポリシー管理インフラストラクチャ |
SRP では、SRP ポリシーを管理する際、ドメイン内ではグループ ポリシーが使用され、ローカル コンピューターについてはローカル セキュリティ ポリシー スナップインが使用されます。 |
AppLocker では、AppLocker ポリシーを管理する際、ドメイン内ではグループ ポリシーが使用され、ローカル コンピューターについてはローカル セキュリティ ポリシー スナップインが使用されます。 |
悪意のあるスクリプトのブロック |
悪意のあるスクリプトをブロックするための規則を使用すると、Windows スクリプト ホストに関連付けられたすべてのスクリプトが、自社によるデジタル署名がない限り実行されなくなります。 |
AppLocker 規則では、.ps1、.bat、.cmd、.vbs、.js の各ファイル形式を制御できます。また、例外を設定して、特定のファイルの実行を許可することもできます。 |
ソフトウェア インストールの管理 |
SRP では、Windows インストーラー パッケージによるインストールをすべて禁止できます。自社がデジタル署名した .msi ファイルの場合は、インストールを実行できます。 |
Windows インストーラー規則のコレクションは、Windows インストーラーのファイルの種類 (.mst、.msi、および .msp) 用に作成された規則セットです。これを使用して、クライアント コンピューターやサーバー上でのファイルのインストールを制御できます。 |
コンピューター上のすべてのソフトウェアの管理 |
すべてのソフトウェアは 1 つの規則セットで管理されます。既定では、デバイス上のすべてのソフトウェアを管理するポリシーにより、ユーザーのデバイス上にあるすべてのソフトウェアの実行が禁止されます。ただし、Windows フォルダー、Program Files フォルダー、またはサブフォルダーにインストールされたソフトウェアは除きます。 |
SRP とは異なり、各 AppLocker 規則のコレクションは、許可済みファイル一覧として機能します。規則のコレクションに記載されているファイルのみが実行を許可されます。この構成により、AppLocker 規則が適用されたときに何が発生するかを管理者が判断しやすくなります。 |
ユーザーごとに異なるポリシー |
規則は、特定のデバイス上のすべてのユーザーに対して一様に適用されます。 |
1 台のデバイスを複数のユーザーで共有する場合、インストールされたソフトウェアにアクセスできるユーザーのグループを管理者が指定できます。AppLocker を使うと、管理者は特定の規則を特定のユーザーに適用するように指定できます。 |