AppLocker
この記事では、AppLocker の説明を示し、Organizationが AppLocker ポリシーの展開のメリットを得られるかどうかを判断するのに役立ちます。 AppLocker を使用すると、ユーザーが実行できるアプリとファイルを制御できます。 これらには、実行形式ファイル、スクリプト、Windows インストーラー ファイル、ダイナミックリンク ライブラリ (DLL)、パッケージ アプリ、パッケージ アプリのインストーラーが含まれています。 AppLocker は、App Control for Business の一部の機能でも使用されます。
注
AppLocker は多層防御セキュリティ機能であり、防御可能な Windows セキュリティ機能とは見なされません。 App Control for Business は、脅威に対して堅牢な保護を提供することを目標とし、セキュリティ機能がこの目標を達成できない設計上の制限がないと予想される場合に使用する必要があります。
注
既定では、AppLocker ポリシーはユーザーのコンテキストで起動されたコードにのみ適用されます。 Windows 10、Windows 11、Windows Server 2016以降では、SYSTEM として実行されているものも含め、ユーザー以外のプロセスに AppLocker ポリシーを適用できます。 詳細については、「 AppLocker 規則コレクション拡張機能」を参照してください。
AppLocker は次の操作に役立ちます。
- 発行元の名前 (デジタル署名から派生)、製品名、ファイル名、ファイル バージョンなどのアプリの更新の間で保持されるファイル属性に基づいて規則を定義します。 ファイル パスやハッシュに基づいて規則を作成することもできます。
- セキュリティ グループまたは個々のユーザーに規則を割り当てます。
- 規則の例外を作成します。 たとえば、レジストリ エディター (regedit.exe) を除くすべての Windows バイナリの実行をすべてのユーザーに許可する規則を作成することができます。
- 監査専用モードを使用してポリシーを展開し、適用する前にその効果を理解します。
- ステージング サーバー上に規則を作成し、テストしてから、運用環境にエクスポートして、グループ ポリシー オブジェクトにインポートします。
- Windows PowerShellを使用して AppLocker ルールを作成および管理します。
AppLocker は、ユーザーが承認されていないアプリを実行できないようにするのに役立ちます。 AppLocker は、次のアプリ制御シナリオに対処します。
- アプリケーション インベントリ: AppLocker には、すべてのアプリ起動アクティビティが許可されているが、イベント ログに登録されている監査専用モードでそのポリシーを適用する機能があります。 さらに詳しい分析のために、これらのイベントを収集することができます。 Windows PowerShell コマンドレットも、このデータをプログラムで分析するために役立ちます。
- 不要なソフトウェアに対する保護: AppLocker には、許可されているアプリの一覧からアプリを除外するときにアプリの実行を拒否する機能があります。 運用環境で AppLocker ルールが適用されると、許可されたルールに含まれていないアプリはすべて実行がブロックされます。
- ライセンス準拠: AppLocker は、ライセンスのないソフトウェアの実行を妨げるルールを作成し、ライセンスされたソフトウェアを承認されたユーザーに制限するのに役立ちます。
- ソフトウェアの標準化: AppLocker ポリシーは、サポートされているアプリまたは承認済みのアプリのみをビジネス グループ内のコンピューターで実行できるように構成できます。 この構成により、より一様なアプリのデプロイが可能になります。
AppLocker を使用するタイミング
多くの組織において、情報は最も重要な資産であり、承認されたユーザーのみがその情報にアクセスすることが重要です。 Active Directory Rights Management サービス (AD RMS)、アクセス制御リスト (ACL) などのアクセス制御テクノロジは、ユーザーがアクセスを許可される内容の制御に役立ちます。
ただし、ユーザーがプロセスを実行する場合、そのプロセスはユーザーが所有するデータと同じアクセス レベルになります。 その結果、ユーザーが不正なソフトウェア (マルウェアを含む) を実行すると、機密情報がorganizationから簡単に削除または送信される可能性があります。 AppLocker は、ユーザーまたはグループの実行が許可されるファイルを制限することで、これらの種類のセキュリティの問題を軽減するのに役立ちます。 AppLocker は DLL とスクリプトを制御できるため、ActiveX コントロールをインストールして実行できるユーザーを制御することもできます。
AppLocker は、PC を管理するためにグループ ポリシーを現在使用している組織に適しています。
AppLocker を使用できるシナリオの例を次に示します。
- 組織のセキュリティ ポリシーにはライセンスされたソフトウェアのみを使用するよう定義されているため、ライセンスされていないソフトウェアをユーザーが実行しないようにする必要があり、ライセンスされたソフトウェアの使用を承認されたユーザーに制限する必要もある。
- アプリが組織でサポートされなくなったため、すべてのユーザーがこのアプリを使用できないようにする必要がある。
- 望ましくないソフトウェアが環境に入り込む可能性は高いため、この脅威を軽減する必要がある。
- アプリのライセンスは、organizationで失効または期限切れになるため、すべてのユーザーがアプリを使用できないようにする必要があります。
- 新しいアプリまたはアプリの新しいバージョンが展開され、ユーザーの以前のバージョンの実行を防ぐ必要がある。
- 特定のソフトウェア ツールは、organization内では許可されません。または、特定のユーザーのみがそれらのツールにアクセスできるようにする必要があります。
- 一般ユーザーが使用できないアプリを、単一のユーザーまたは小規模グループのユーザーが使用できるようにする必要がある。
- 別のソフトウェアを必要とするorganizationの一部のユーザーは、コンピューターを共有し、特定のアプリを保護する必要があります。
- その他の手段に加え、アプリを使った重要なデータへのアクセスを制御する必要があります。
AppLocker を使用すると、組織内のデジタル資産を保護し、環境に導入された悪意のあるソフトウェアの脅威を軽減して、アプリケーション制御の管理とアプリケーション制御ポリシーのメンテナンスを強化できます。
AppLocker のインストール
AppLocker は、バージョン 1809 以前Windows 10除くすべてのエディションの Windows に含まれています。 1 台のコンピューターまたはコンピューターのグループを対象として、AppLocker の規則を作成することができます。 1 台のコンピューターの場合は、ローカル セキュリティ ポリシー エディター (secpol.msc) を使用して、規則を作成できます。 コンピューターのグループの場合は、グループ ポリシー管理コンソール (GPMC) を使用して、グループ ポリシー オブジェクト内で規則を作成できます。
注
GPMC は、リモート サーバー管理ツールをインストールすることによってのみ、Windows を実行しているクライアント コンピューターで使用できます。 Windows Server を実行しているコンピューターには、グループ ポリシー管理機能をインストールする必要があります。
Server Core での AppLocker の使用
Server Core での AppLocker のインストールはサポートされていません。
仮想化に関する考慮事項
前に示したすべてのシステム要件を満たしていれば、Windows の仮想化されたインスタンスを使用して AppLocker ポリシーを管理できます。 グループ ポリシーを仮想化されたインスタンスで実行することもできます。 ただし、仮想化されたインスタンスが削除または失敗した場合、作成および保守するポリシーが失われるリスクがあります。
セキュリティに関する考慮事項
アプリケーション制御ポリシーで、ローカル コンピューターでの実行を許可するアプリを指定します。 悪意のあるソフトウェアにはさまざまなフォームがあるため、実行しても安全なものをユーザーが知ることが難しくなっています。 アクティブ化された場合、悪意のあるソフトウェアは、ハード ディスク ドライブのコンテンツを破損し、ネットワークに大量の要求を送りつけてサービス拒否 (DoS) 攻撃を発生させ、インターネットに機密情報を送信し、コンピューターのセキュリティに危害を与える可能性があります。
この対策は、organizationの PC でアプリケーション制御ポリシーのサウンド デザインを作成することです。 コンピューター上で実行を許可するソフトウェアを制御できるため、AppLocker はアプリ制御戦略の一部となります。
欠陥のあるアプリケーション制御ポリシーを実装すると、必要なアプリケーションが無効になったり、悪意のある、または意図されていないソフトウェアの実行を許可する可能性があります。 運用環境に展開する前に、ラボ環境でポリシーを徹底的にテストする必要があります。 また、組織は、そのようなポリシーの実装を管理およびトラブルシューティングするのに十分なリソースを捧げることも重要です。
特定のセキュリティの問題の詳細については、「 AppLocker のセキュリティに関する考慮事項」を参照してください。 AppLocker を使ってアプリケーション制御ポリシーを作成する場合は、次のセキュリティに関する考慮事項に注意する必要があります。
- だれが AppLocker ポリシーの設定権限を持っていますか?
- ポリシーが適用されていることを検証するにはどうすればよいですか?
- どのイベントを監査する必要がありますか?
セキュリティ計画の参考として、次の表に AppLocker がインストールされている PC のベースライン設定を示します。
| 設定 | 既定値 |
|---|---|
| 作成されたアカウント | なし |
| 認証方法 | 適用なし |
| 管理インターフェイス | AppLocker は、Microsoft 管理コンソール スナップイン、グループ ポリシーの管理、Windows PowerShell を使用して管理できます。 |
| 開かれているポート | なし |
| 最低限必要な特権 | ローカル コンピューターの管理者、ドメイン管理者、またはグループ ポリシー オブジェクトの作成、編集、配布を許可する、任意の一連の権限。 |
| 使用するプロトコル | 適用なし |
| スケジュールされたタスク | Appidpolicyconverter.exe をオンデマンドで実行するスケジュールされたタスクに配置します。 |
| セキュリティ ポリシー | 必要ありません。 AppLocker でセキュリティ ポリシーが作成されます。 |
| 必要なシステム サービス | アプリケーション ID サービス (appidsvc) は LocalServiceAndNoImpersonation で実行されます。 |
| 資格情報のストレージ | なし |
このセクションの内容
| 記事 | 説明 |
|---|---|
| AppLocker の管理 | IT プロフェッショナル向けのこの記事では、AppLocker ポリシーを管理するときに使用する特定の手順へのリンクを示します。 |
| AppLocker 設計ガイド | IT プロフェッショナル向けのこの記事では、AppLocker を使用してアプリケーション制御ポリシーを展開するために必要な設計と計画の手順について説明します。 |
| AppLocker 展開ガイド | IT プロフェッショナル向けのこの記事では、概念について説明し、AppLocker ポリシーを展開するために必要な手順について説明します。 |
| AppLocker テクニカル リファレンス | IT プロフェッショナル向けのこの概要記事では、テクニカル リファレンスの記事へのリンクを提供します。 |