同じドメインでの AppLocker とソフトウェアの制限のポリシーの使用

適用対象

  • Windows 10
  • Windows 11
  • Windows Server 2016以上

注意

アプリケーションコントロールの機能Windows Defender特定のバージョンでのみ使用Windowsがあります。 Defender App Guard 機能の 可用性について詳しくは、以下を参照してください

IT 担当者向けこのトピックでは、ソフトウェア制限ポリシーと AppLocker を使用してアプリケーション制御戦略を管理するための概念と手順について説明します。

同じドメインで AppLocker とソフトウェア制限ポリシーを使用する

AppLocker は、7 以上をWindowsシステムでサポートされています。 ソフトウェア制限ポリシー (SRP) は、Vista 以前で実行されているWindowsサポートされています。 Windows より前の 7 台のコンピューターでアプリケーション制御には SRP を引き続き使用できますが、Windows Server 2008 R2、Windows 7 以降を実行しているコンピューターには AppLocker を使用します。 AppLocker ルールと SRP ルールを別々の GPO で作成し、SRP ポリシーを使用して GPO を Vista 以前で実行しているWindowsをお勧めします。 SRP ポリシーと AppLocker ポリシーの両方が Windows Server 2008 R2、Windows 7 以降を実行しているコンピューターに適用されると、SRP ポリシーは無視されます。

次の表は、ソフトウェア制限ポリシー (SRP) と AppLocker の機能を比較しています。

アプリケーション制御関数 SRP AppLocker

適用範囲

SRP ポリシーは、XP およびサーバー 2003 Windowsで始まるすべてのWindowsに適用Windowsできます。

AppLocker ポリシーは、サーバー 2008 R2 Windows 7 以降Windowsにのみ適用されます。

ポリシーの作成

SRP ポリシーはグループ ポリシーによって維持され、GPO の管理者だけが SRP ポリシーを更新できます。 ローカル コンピューターの管理者は、ローカル GPO で定義されている SRP ポリシーを変更できます。

AppLocker ポリシーはグループ ポリシーによって管理され、GPO の管理者だけがポリシーを更新できます。 ローカル コンピューターの管理者は、ローカル GPO で定義されている AppLocker ポリシーを変更できます。

AppLocker では、エラー メッセージをカスタマイズして、ユーザーにヘルプを提供するために Web ページに移動できます。

ポリシーのメンテナンス

SRP ポリシーは、ローカル セキュリティ ポリシー スナップイン (ポリシーがローカルで作成されている場合) またはグループ ポリシー管理コンソール (GPMC) を使用して更新する必要があります。

AppLocker ポリシーは、ローカル セキュリティ ポリシー スナップイン (ポリシーがローカルで作成されている場合) または GPMC、または Windows PowerShell AppLocker コマンドレットを使用して更新できます。

ポリシー アプリケーション

SRP ポリシーは、グループ ポリシーを通じて配布されます。

AppLocker ポリシーは、グループ ポリシーを通じて配布されます。

強制モード

SRP は "拒否リスト モード" で動作し、管理者は、この Enterprise で許可しないファイルのルールを作成できます。一方、ファイルの残りの部分は既定で実行できます。

SRP は、既定ですべてのファイルがブロックされ、管理者が許可するファイルの許可ルールを作成する必要がある場合に、"allowlist モード" で構成することもできます。

AppLocker は既定で "allowlist モード" で動作し、一致する許可ルールがあるファイルのみを実行できます。

制御できるファイルの種類

SRP は、次の種類のファイルを制御できます。

  • 実行可能ファイル

  • Dlls

  • スクリプト

  • Windowsインストーラー

SRP では、各ファイルの種類を個別に制御できません。 すべての SRP ルールは、1 つのルール コレクションに含されます。

AppLocker では、次の種類のファイルを制御できます。

  • 実行可能ファイル

  • Dlls

  • スクリプト

  • Windowsインストーラー

  • パッケージ化されたアプリとインストーラー

AppLocker は、5 つのファイルの種類ごとに個別のルール コレクションを保持します。

指定されたファイルの種類

SRP では、実行可能ファイルと見なされるファイルの種類の拡張可能な一覧がサポートされています。 管理者は、実行可能ファイルと見なす必要があるファイルの拡張機能を追加できます。

AppLocker は現在、次のファイル拡張子をサポートしています。

  • 実行可能ファイル (.exe.com)

  • Dlls (.ocx、.dll)

  • スクリプト (.vbs、.js、.ps1、.cmd、.bat)

  • Windowsインストーラー (.msi、.mst、.msp)

  • パッケージ アプリ インストーラー (.appx)

ルールの種類

SRP では、次の 4 種類のルールがサポートされています。

  • Hash

  • パス

  • 署名

  • イントラネット ゾーン

AppLocker では、次の 3 種類のルールがサポートされています。

  • ファイル ハッシュ

  • パス

  • 発行元

ハッシュ値の編集

XP Windowsでは、SRP を使用してカスタム ハッシュ値を提供できます。

サーバー 7 Windowsおよびサーバー 2008 R2 Windowsから、ハッシュ値を指定しないハッシュするファイルのみを選択できます。

AppLocker はハッシュ値自体を計算します。 内部的には、ポータブル実行可能ファイル (exe と dll) と Windows インストーラーの SHA2 Authenticode ハッシュと、残りの部分に SHA2 フラット ファイル ハッシュを使用します。

さまざまなセキュリティ レベルのサポート

SRP を使用すると、アプリを実行できるアクセス許可を指定できます。 そのため、制限されたアクセス許可で常に実行されメモ帳管理者権限では実行しないルールを構成できます。

Vista およびそれ以前Windowsの SRP は、複数のセキュリティ レベルをサポートしました。 7 Windowsでは、そのリストは 2 つのレベルに制限されました。[許可しない] と [制限されていない] (基本ユーザーは[許可しない] に変換されます)。

AppLocker では、セキュリティ レベルはサポートされていません。

パッケージ アプリとパッケージ アプリ インストーラーを管理します。

サポートされていません

.appx は、AppLocker が管理できる有効なファイルの種類です。

ルールをユーザーまたはユーザーのグループにターゲット設定する

SRP ルールは、特定のコンピューター上のすべてのユーザーに適用されます。

AppLocker ルールは、特定のユーザーまたはユーザー のグループを対象とすることができます。

ルール例外のサポート

SRP はルールの例外をサポートしません。

AppLocker ルールには例外を含め、"すべてのルールを許可する" などのルールを作成Windowsをregedit.exe。

監査モードのサポート

SRP は監査モードをサポートしません。 SRP ポリシーをテストする唯一の方法は、テスト環境をセットアップし、いくつかの実験を実行する方法です。

AppLocker は監査モードをサポートしています。これにより、ユーザー エクスペリエンスに影響を与えることなく、実際の実稼働環境でポリシーの効果をテストできます。 結果に満足したら、ポリシーの適用を開始できます。

ポリシーのエクスポートとインポートのサポート

SRP では、ポリシーのインポート/エクスポートはサポートされていません。

AppLocker では、ポリシーのインポートとエクスポートがサポートされています。 これにより、サンプル デバイス上に AppLocker ポリシーを作成し、テストし、そのポリシーをエクスポートして、目的の GPO にインポートし戻します。

ルールの適用

内部的には、SRP ルールの適用はユーザー モードで行います。これは安全性が低い。

内部的には、.exe ファイルと .dll ファイルの AppLocker ルールがカーネル モードで適用されます。これは、ユーザー モードでファイルを強制するよりも安全です。