AppLockerAppLocker

適用対象Applies to

  • Windows 10Windows10
  • Windows ServerWindows Server

このトピックでは、AppLocker について説明します。また、組織が AppLocker アプリケーション制御ポリシーの展開によって恩恵を得られるかどうかを決定するために役立てることもできます。This topic provides a description of AppLocker and can help you decide if your organization can benefit from deploying AppLocker application control policies. AppLocker を使用すると、ユーザーが実行できるアプリとファイルを制御できます。AppLocker helps you control which apps and files users can run. これらには、実行形式ファイル、スクリプト、Windows インストーラー ファイル、ダイナミックリンク ライブラリ (DLL)、パッケージ アプリ、パッケージ アプリのインストーラーが含まれています。These include executable files, scripts, Windows Installer files, dynamic-link libraries (DLLs), packaged apps, and packaged app installers.

注意

AppLocker は、任意のオペレーティングシステムのシステムアカウントで実行されているプロセスを制御することはできません。AppLocker is unable to control processes running under the system account on any operating system.

AppLocker は次の操作に役立ちます。AppLocker can help you:

  • 発行元の名前 (デジタル署名から派生)、製品名、ファイル名、ファイル バージョンなどのアプリの更新の間で保持されるファイル属性に基づいて規則を定義します。Define rules based on file attributes that persist across app updates, such as the publisher name (derived from the digital signature), product name, file name, and file version. ファイル パスやハッシュに基づいて規則を作成することもできます。You can also create rules based on the file path and hash.
  • セキュリティ グループまたは個々のユーザーに規則を割り当てます。Assign a rule to a security group or an individual user.
  • 規則の例外を作成します。Create exceptions to rules. たとえば、レジストリ エディター (regedit.exe) を除くすべての Windows バイナリの実行をすべてのユーザーに許可する規則を作成することができます。For example, you can create a rule that allows all users to run all Windows binaries, except the Registry Editor (regedit.exe).
  • ポリシーの展開には監査のみのモードを使用して、適用する前に影響を把握します。Use audit-only mode to deploy the policy and understand its impact before enforcing it.
  • ステージング サーバー上に規則を作成し、テストしてから、運用環境にエクスポートして、グループ ポリシー オブジェクトにインポートします。Create rules on a staging server, test them, then export them to your production environment and import them into a Group Policy Object.
  • Windows PowerShell を使用して AppLocker の規則の作成と管理を簡略化します。Simplify creating and managing AppLocker rules by using Windows PowerShell.

AppLocker を使用すると、管理オーバーヘッドを削減でき、ユーザーが実行している承認されていないアプリに起因するヘルプ デスクへの問い合わせ数が減少することによって組織のコンピューティング リソースの管理コストを削減できます。AppLocker helps reduce administrative overhead and helps reduce the organization's cost of managing computing resources by decreasing the number of Help Desk calls that result from users running unapproved apps. AppLocker は次のアプリ セキュリティ シナリオに対応します。AppLocker addresses the following app security scenarios:

  • アプリケーション インベントリApplication inventory

    AppLocker には、すべてのアプリ アクセス アクティビティがイベント ログに登録されている場合、監査のみのモードでそのポリシーを強制的に適用する機能があります。AppLocker has the ability to enforce its policy in an audit-only mode where all app access activity is registered in event logs. さらに詳しい分析のために、これらのイベントを収集することができます。These events can be collected for further analysis. Windows PowerShell コマンドレットも、このデータをプログラムで分析するために役立ちます。Windows PowerShell cmdlets also help you analyze this data programmatically.

  • 望ましくないソフトウェアに対する保護Protection against unwanted software

    AppLocker には、許可されたアプリの一覧からアプリを除外した場合、その実行を拒否する機能があります。AppLocker has the ability to deny apps from running when you exclude them from the list of allowed apps. AppLocker の規則を運用環境で適用した場合、許可された規則に含まれていないアプリはすべて実行できなくなります。When AppLocker rules are enforced in the production environment, any apps that are not included in the allowed rules are blocked from running.

  • ライセンス準拠Licensing conformance

    AppLocker を使用すると、ライセンスされていないソフトウェアを実行しないようにし、ライセンスされているソフトウェアを承認されているユーザーに限定する規則を作成できます。AppLocker can help you create rules that preclude unlicensed software from running and restrict licensed software to authorized users.

  • ソフトウェアの標準化Software standardization

    AppLocker ポリシーは、ビジネス グループ内のコンピューターでの実行がサポートされているか、承認されているアプリのみを許可するように構成できます。AppLocker policies can be configured to allow only supported or approved apps to run on computers within a business group. これによって、さらに一貫性のあるアプリの展開が可能になります。This permits a more uniform app deployment.

  • 管理のやりやすさの向上Manageability improvement

    AppLocker では、その前身であるソフトウェアの制限のポリシーと比較して、管理状態において多くの点が強化されています。AppLocker includes a number of improvements in manageability as compared to its predecessor Software Restriction Policies. ソフトウェアの制限のポリシーからの強化点の一部としては、インポートおよびエクスポート ポリシー、複数のファイルからの規則の自動生成、監査のみのモードの展開、Windows PowerShell コマンドレットがあります。Importing and exporting policies, automatic generation of rules from multiple files, audit-only mode deployment, and Windows PowerShell cmdlets are a few of the improvements over Software Restriction Policies.

AppLocker を使用する状況When to use AppLocker

多くの組織において、情報は最も重要な資産であり、承認されたユーザーのみがその情報にアクセスすることが重要です。In many organizations, information is the most valuable asset, and ensuring that only approved users have access to that information is imperative. Active Directory Rights Management Services (ADRMS) やアクセス制御リスト (Acl) などのアクセス制御テクノロジにより、ユーザーがアクセスできるかどうかを制御できます。Access control technologies, such as Active Directory Rights Management Services (ADRMS) and access control lists (ACLs), help control what users are allowed to access.

ただし、ユーザーがプロセスを実行する場合、そのプロセスはユーザーが所有するデータと同じアクセス レベルになります。However, when a user runs a process, that process has the same level of access to data that the user has. この結果、ユーザーが故意にまたは気づかずに悪意のあるソフトウェアを実行すると、重要情報が簡単に削除されたり、組織外に送信されたりする可能性があります。As a result, sensitive information could easily be deleted or transmitted out of the organization if a user knowingly or unknowingly runs malicious software. AppLocker を使用すると、ユーザーまたはグループが実行を許可されるファイルを制限することによってこれらの種類のセキュリティ侵害を軽減できます。AppLocker can help mitigate these types of security breaches by restricting the files that users or groups are allowed to run. ソフトウェアの発行元は、管理者以外のユーザーがインストールできるさらに多くのアプリを作成しつつあります。Software publishers are beginning to create more apps that can be installed by non-administrative users. これは、組織の作成済みのセキュリティ ポリシーを危険にさらしたり、ユーザーがアプリをインストールできないことを利用した従来のアプリ制御ソリューションが機能しなくなる可能性があります。This could jeopardize an organization's written security policy and circumvent traditional app control solutions that rely on the inability of users to install apps. 承認されたファイルとアプリの許可リストを作成することにより、AppLocker はこのようなユーザーを単位とするアプリの実行を防ぐために役立ちます。By creating an allowed list of approved files and apps, AppLocker helps prevent such per-user apps from running. AppLocker は DLL を制御できるため、ActiveX コントロールをインストールして実行できるユーザーを制御するのにも役立ちます。Because AppLocker can control DLLs, it is also useful to control who can install and run ActiveX controls.

AppLocker は、PC を管理するためにグループ ポリシーを現在使用している組織に適しています。AppLocker is ideal for organizations that currently use Group Policy to manage their PCs.

AppLocker を使用できるシナリオの例を次に示します。The following are examples of scenarios in which AppLocker can be used:

  • 組織のセキュリティ ポリシーにはライセンスされたソフトウェアのみを使用するよう定義されているため、ライセンスされていないソフトウェアをユーザーが実行しないようにする必要があり、ライセンスされたソフトウェアの使用を承認されたユーザーに制限する必要もある。Your organization's security policy dictates the use of only licensed software, so you need to prevent users from running unlicensed software and also restrict the use of licensed software to authorized users.
  • アプリが組織でサポートされなくなったため、すべてのユーザーがこのアプリを使用できないようにする必要がある。An app is no longer supported by your organization, so you need to prevent it from being used by everyone.
  • 望ましくないソフトウェアが環境に入り込む可能性は高いため、この脅威を軽減する必要がある。The potential that unwanted software can be introduced in your environment is high, so you need to reduce this threat.
  • アプリのライセンスが失効したか、組織で期限切れになっているため、すべてのユーザーの使用を防ぐ必要がある。The license to an app has been revoked or it is expired in your organization, so you need to prevent it from being used by everyone.
  • 新しいアプリまたはアプリの新しいバージョンが展開され、ユーザーの以前のバージョンの実行を防ぐ必要がある。A new app or a new version of an app is deployed, and you need to prevent users from running the old version.
  • 組織内では特定のソフトウェア ツールが許可されない、または特定のユーザーのみがそれらのツールにアクセスする必要がある。Specific software tools are not allowed within the organization, or only specific users should have access to those tools.
  • 一般ユーザーが使用できないアプリを、単一のユーザーまたは小規模グループのユーザーが使用できるようにする必要がある。A single user or small group of users needs to use a specific app that is denied for all others.
  • 組織の一部のコンピューターはソフトウェアの使用法のニーズが異なるユーザーで共有されており、特定のアプリを保護する必要がある。Some computers in your organization are shared by people who have different software usage needs, and you need to protect specific apps.
  • その他の手段に加え、アプリを使った重要なデータへのアクセスを制御する必要があります。In addition to other measures, you need to control the access to sensitive data through app usage.

注意

AppLocker は、セキュリティの境界ではなく、多層防御セキュリティ機能です。AppLocker is a defense-in-depth security feature and not a security boundary. Windows Defender アプリケーションコントロールは、脅威に対する堅牢な保護を提供することを目標としており、セキュリティ機能がこの目標を達成できないようにするための設計上の制限がないと予想される場合に使用する必要があります。Windows Defender Application Control should be used when the goal is to provide robust protection against a threat and there are expected to be no by-design limitations that would prevent the security feature from achieving this goal.

AppLocker を使用すると、組織内のデジタル資産を保護し、環境に導入された悪意のあるソフトウェアの脅威を軽減して、アプリケーション制御の管理とアプリケーション制御ポリシーのメンテナンスを強化できます。AppLocker can help you protect the digital assets within your organization, reduce the threat of malicious software being introduced into your environment, and improve the management of application control and the maintenance of application control policies.

AppLocker のインストールInstalling AppLocker

AppLocker は、Windows のエンタープライズレベルのエディションに含まれています。AppLocker is included with enterprise-level editions of Windows. 1 台のコンピューターまたはコンピューターのグループを対象として、AppLocker の規則を作成することができます。You can author AppLocker rules for a single computer or for a group of computers. 1 台のコンピューターの場合は、ローカル セキュリティ ポリシー エディター (secpol.msc) を使用して、規則を作成できます。For a single computer, you can author the rules by using the Local Security Policy editor (secpol.msc). コンピューターのグループの場合は、グループ ポリシー管理コンソール (GPMC) を使用して、グループ ポリシー オブジェクト内で規則を作成できます。For a group of computers, you can author the rules within a Group Policy Object by using the Group Policy Management Console (GPMC).

注意

GPMC は、リモートサーバー管理ツールをインストールすることによってのみ、Windows を実行しているクライアントコンピューターで利用できます。The GPMC is available in client computers running Windows only by installing the Remote Server Administration Tools. Windows Server を実行しているコンピューターには、グループ ポリシー管理機能をインストールする必要があります。On computer running Windows Server, you must install the Group Policy Management feature.

Server Core での AppLocker の使用Using AppLocker on Server Core

サーバー コアでの AppLocker のインストールはサポートされていません。AppLocker on Server Core installations is not supported.

仮想化に関する考慮事項Virtualization considerations

前に示したすべてのシステム要件を満たしていれば、Windows の仮想化されたインスタンスを使用して AppLocker ポリシーを管理できます。You can administer AppLocker policies by using a virtualized instance of Windows provided it meets all the system requirements listed previously. グループ ポリシーを仮想化されたインスタンスで実行することもできます。You can also run Group Policy in a virtualized instance. ただし、仮想化されたインスタンスが削除されるか、失敗すると、作成および管理したポリシーが失われる危険があります。However, you do risk losing the policies that you created and maintain if the virtualized instance is removed or fails.

セキュリティに関する考慮事項Security considerations

アプリケーション制御ポリシーで、ローカル コンピューターでの実行を許可するアプリを指定します。Application control policies specify which apps are allowed to run on the local computer.

悪意のあるソフトウェアにはさまざまなフォームがあるため、実行しても安全なものをユーザーが知ることが難しくなっています。The variety of forms that malicious software can take make it difficult for users to know what is safe to run. アクティブ化された場合、悪意のあるソフトウェアは、ハード ディスク ドライブのコンテンツを破損し、ネットワークに大量の要求を送りつけてサービス拒否 (DoS) 攻撃を発生させ、インターネットに機密情報を送信し、コンピューターのセキュリティに危害を与える可能性があります。When activated, malicious software can damage content on a hard disk drive, flood a network with requests to cause a denial-of-service (DoS) attack, send confidential information to the Internet, or compromise the security of a computer.

対策は、組織の PC でアプリケーション制御ポリシーの適正な設計を作成し、運用環境で展開する前にラボ環境で徹底的にテストすることです。The countermeasure is to create a sound design for your application control policies on PCs in your organization, and then thoroughly test the policies in a lab environment before you deploy them in a production environment. コンピューター上で実行を許可するソフトウェアを制御できるため、AppLocker はアプリ制御戦略の一部となります。AppLocker can be part of your app control strategy because you can control what software is allowed to run on your computers.

欠陥のあるアプリケーション制御ポリシーを実装すると、必要なアプリケーションが無効になったり、悪意のある、または意図されていないソフトウェアの実行を許可する可能性があります。A flawed application control policy implementation can disable necessary applications or allow malicious or unintended software to run. したがって、組織はこれらのポリシーの実装の管理とトラブルシューティングに十分なリソースを割り当てることが重要です。Therefore, it is important that organizations dedicate sufficient resources to manage and troubleshoot the implementation of such policies.

特定のセキュリティの問題の詳細については、「 AppLocker のセキュリティに関する考慮事項」を参照してください。For additional information about specific security issues, see Security considerations for AppLocker.

AppLocker を使ってアプリケーション制御ポリシーを作成する場合は、次のセキュリティに関する考慮事項に注意する必要があります。When you use AppLocker to create application control policies, you should be aware of the following security considerations:

  • だれが AppLocker ポリシーの設定権限を持っていますか?Who has the rights to set AppLocker policies?
  • ポリシーが適用されていることを検証するにはどうすればよいですか?How do you validate that the policies are enforced?
  • どのイベントを監査する必要がありますか?What events should you audit?

セキュリティ計画の参考として、次の表に AppLocker がインストールされている PC のベースライン設定を示します。For reference in your security planning, the following table identifies the baseline settings for a PC with AppLocker installed:

設定Setting 既定値Default value
作成されたアカウントAccounts created なしNone
認証方法Authentication method 適用なしNot applicable
管理インターフェイスManagement interfaces AppLocker は、Microsoft 管理コンソール スナップイン、グループ ポリシーの管理、Windows PowerShell を使用して管理できます。AppLocker can be managed by using a Microsoft Management Console snap-in, Group Policy Management, and Windows PowerShell
開かれているポートPorts opened なしNone
最低限必要な特権Minimum privileges required ローカル コンピューターの管理者、ドメイン管理者、またはグループ ポリシー オブジェクトの作成、編集、配布を許可する、任意の一連の権限。Administrator on the local computer; Domain Admin, or any set of rights that allow you to create, edit and distribute Group Policy Objects.
使用するプロトコルProtocols used 適用なしNot applicable
スケジュールされたタスクScheduled Tasks Appidpolicyconverter.exe をオンデマンドで実行するスケジュールされたタスクに配置します。Appidpolicyconverter.exe is put in a scheduled task to be run on demand.
セキュリティ ポリシーSecurity Policies 必要ありません。None required. AppLocker でセキュリティ ポリシーが作成されます。AppLocker creates security policies.
必要なシステム サービスSystem Services required アプリケーション ID サービス (appidsvc) は LocalServiceAndNoImpersonation で実行されます。Application Identity service (appidsvc) runs under LocalServiceAndNoImpersonation.
資格情報のストレージStorage of credentials なしNone

このセクションの内容In this section

トピックTopic 説明Description
AppLocker の管理Administer AppLocker IT 担当者向けのこのトピックでは、AppLocker ポリシーを管理するときに使用する具体的な手順へのリンクを提供します。This topic for IT professionals provides links to specific procedures to use when administering AppLocker policies.
AppLocker 設計ガイドAppLocker design guide この IT 担当者向けのガイドでは、AppLocker を使用してアプリケーション制御ポリシーを展開するために必要な設計と計画の手順を示します。This topic for the IT professional introduces the design and planning steps required to deploy application control policies by using AppLocker.
AppLocker 展開ガイドAppLocker deployment guide IT 担当者向けのこのトピックでは、AppLocker ポリシーの概念を紹介すると共に、ポリシーを展開するための手順について説明します。This topic for IT professionals introduces the concepts and describes the steps required to deploy AppLocker policies.
AppLocker テクニカル リファレンスAppLocker technical reference IT 担当者向けのこの概要トピックでは、テクニカル リファレンス トピックへのリンクを提供します。This overview topic for IT professionals provides links to the topics in the technical reference.