AppLocker とは

適用対象

  • Windows 10
  • Windows 11
  • Windows Server 2016以上

注意

アプリケーションコントロールの機能Windows Defender特定のバージョンでのみ使用Windowsがあります。 アプリケーション制御機能の可用性Windows Defender詳細については、以下を参照してください

IT プロフェッショナル向けこのトピックでは、AppLocker の機能とソフトウェア制限ポリシーの違いについて説明します。

AppLocker は、ソフトウェア制限ポリシーのアプリ制御機能と機能を拡張します。 AppLocker には新しい機能と拡張機能が含まれているので、ファイルの一意の ID に基づいてアプリの実行を許可または拒否したり、それらのアプリを実行できるユーザーまたはグループを指定したりするルールを作成できます。

AppLocker を使用すると、次の手順を実行できます。

  • 実行可能ファイル (.exe と .com)、スクリプト (.js、.ps1、.vbs、.cmd、および .bat)、Windows インストーラー ファイル (.mst、.msi、.msp)、DLL ファイル (.dll と .ocx)、パッケージ化されたアプリとパッケージアプリ インストーラー (appx) を制御します。
  • 発行元、製品名、ファイル名、ファイルバージョンなど、デジタル署名から派生したファイル属性に基づいてルールを定義します。 たとえば、更新によって永続的な publisher 属性に基づいてルールを作成したり、ファイルの特定のバージョンのルールを作成することができます。
  • セキュリティ グループまたは個々のユーザーに規則を割り当てます。
  • 規則の例外を作成します。 たとえば、レジストリ エディター (レジストリ エディター) 以外のすべてのWindowsを実行できるルールを作成Regedit.exe。
  • ポリシーの展開には監査のみのモードを使用して、適用する前に影響を把握します。
  • ルールのインポートとエクスポート。 インポートとエクスポートはポリシー全体に影響します。 たとえば、ポリシーをエクスポートすると、すべてのルール コレクションのすべてのルール (ルール コレクションの適用設定を含む) がエクスポートされます。 ポリシーをインポートすると、既存のポリシーのすべての条件が上書きされます。
  • カスタム コマンドレットを使用して AppLocker ルールの作成と管理を効率化Windows PowerShellします。

AppLocker は管理上のオーバーヘッドを削減し、承認されていないアプリを実行しているユーザーによるヘルプ デスク呼び出しの数を減らすことで、コンピューティング リソースの管理に関する組織のコストを削減するのに役立ちます。

AppLocker が対応するアプリケーション制御シナリオの詳細については、「AppLocker ポリシーの使用シナリオ 」を参照してください

ソフトウェア制限ポリシーと AppLocker の違いは何ですか?

機能の違い

次の表は、AppLocker とソフトウェア制限ポリシーを比較します。

機能 ソフトウェア制限ポリシー AppLocker
ルールスコープ すべてのユーザー 特定のユーザーまたはグループ
提供されるルール条件 ファイル ハッシュ、パス、証明書、レジストリ パス、インターネット ゾーン ファイル ハッシュ、パス、および発行元
提供されるルールの種類 セキュリティ レベルによって定義されます。
  • Disallowed
  • 基本ユーザー
  • 制限なし
  • 許可と拒否
    既定のルール アクション 制限なし 暗黙的な拒否
    監査専用モード なし
    一度に複数のルールを作成するウィザード なし
    ポリシーのインポートまたはエクスポート なし
    ルール コレクション なし
    Windows PowerShellサポート なし
    カスタム エラー メッセージ なし

    アプリケーション制御関数の違い

    次の表は、ソフトウェア制限ポリシー (SRP) と AppLocker のアプリケーション制御機能を比較しています。

    アプリケーション制御関数 SRP AppLocker
    オペレーティング システムのスコープ SRP ポリシーは、XP およびサーバー 2003 Windowsで始まるすべてのWindowsに適用Windowsできます。 AppLocker ポリシーは、「AppLocker を使用する要件」に記載されているサポートされているオペレーティング システムのバージョンとエディション にのみ適用されます。 ただし、これらのシステムでは SRP も使用できます。
    注: SRP ルールと AppLocker ルールには、さまざまな GPO を使用します。
    ユーザー サポート SRP を使用すると、ユーザーは管理者としてアプリケーションをインストールできます。 AppLocker ポリシーはグループ ポリシーによって管理され、デバイスの管理者だけが AppLocker ポリシーを更新できます。

    AppLocker では、エラー メッセージをカスタマイズして、ユーザーにヘルプを提供するために Web ページに移動できます。

    ポリシーのメンテナンス SRP ポリシーは、ローカル セキュリティ ポリシー スナップインまたはグループ ポリシー管理コンソール (GPMC) を使用して更新されます。 AppLocker ポリシーは、ローカル セキュリティ ポリシー スナップインまたは GPMC を使用して更新されます。

    AppLocker は、管理とメンテナンスを支援する PowerShell コマンドレットの小さなセットをサポートしています。

    ポリシー管理インフラストラクチャ SRP ポリシーを管理するために、SRP はドメイン内のグループ ポリシーとローカル コンピューターのローカル セキュリティ ポリシー スナップインを使用します。 AppLocker ポリシーを管理するために、AppLocker はドメイン内のグループ ポリシーとローカル コンピューターのローカル セキュリティ ポリシー スナップインを使用します。
    悪意のあるスクリプトをブロックする 悪意のあるスクリプトをブロックするためのルールでは、組織によってデジタル署名されているスクリプトを除き、Windows スクリプト ホストに関連付けられているすべてのスクリプトが実行されるのを防ぐ。 AppLocker ルールは、次のファイル形式を制御.ps1、.bat、.cmd、.vbs、および .js。 さらに、特定のファイルの実行を許可する例外を設定できます。
    ソフトウェア インストールの管理 SRP を使用すると、すべてのWindowsインストーラー パッケージがインストールされるのを防ぐ可能性があります。 これにより、.msiによってデジタル署名されたファイルをインストールできます。 Windows インストーラー ルール コレクションは、Windows インストーラー ファイルの種類 (.mst、.msi、.msp) に対して作成された一連のルールで、クライアント コンピューターとサーバーへのファイルのインストールを制御できます。
    コンピューター上のすべてのソフトウェアを管理する すべてのソフトウェアは、1 つのルール セットで管理されます。 既定では、デバイス上のすべてのソフトウェアを管理するためのポリシーは、Windows フォルダー、Program Files フォルダー、またはサブフォルダーにインストールされているソフトウェアを除き、ユーザーのデバイス上のすべてのソフトウェアを禁止します。 SRP とは異なり、各 AppLocker ルール コレクションはファイルの許可リストとして機能します。 ルール コレクション内に一覧表示されているファイルのみを実行できます。 この構成により、管理者は AppLocker ルールを適用するときに発生する処理を簡単に判断できます。
    ユーザーごとに異なるポリシー ルールは、特定のデバイス上のすべてのユーザーに均等に適用されます。 複数のユーザーが共有するデバイスで、管理者はインストールされているソフトウェアにアクセスできるユーザーのグループを指定できます。 管理者は AppLocker を使用して、特定のルールを適用するユーザーを指定できます。

    関連トピック