Windows のアプリケーション制御

Windows Defender アプリケーションコントロールの一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

毎日何千もの新しい悪意のあるファイルが作成され、ウイルス対策ソリューションシグネチャベースの検出などの従来の方法を使用してマルウェアと戦うと、新しい攻撃に対する防御が不十分になります。

ほとんどの組織では、情報が最も重要な資産であり、承認されたユーザーのみがその情報にアクセスできるようにすることが不可欠です。 ただし、ユーザーがプロセスを実行する場合、そのプロセスはユーザーが所有するデータと同じアクセス レベルになります。 この結果、ユーザーが故意にまたは気づかずに悪意のあるソフトウェアを実行すると、重要情報が簡単に削除されたり、組織外に送信されたりする可能性があります。

アプリケーション制御は、ユーザーが実行できるアプリケーションと System Core (カーネル) で実行されるコードを制限することで、これらの種類のセキュリティ上の脅威を軽減するのに役立ちます。 アプリケーション制御ポリシーでは、署名されていないスクリプトと MSI をブロックし、制約付き言語モードで実行するようにWindows PowerShellを制限することもできます。

アプリケーション制御は、今日の脅威環境を考えると企業を保護するための重要な防御ラインであり、従来のウイルス対策ソリューションよりも本質的な利点があります。 具体的には、アプリケーション制御は、すべてのアプリケーションが信頼できると見なされるアプリケーション信頼モデルから、アプリケーションを実行するために信頼を得る必要があるアプリケーションに移動します。 オーストラリア信号局のような多くの組織は、アプリケーション制御の重要性を理解し、実行可能ファイルベースのマルウェア (.exe、.dll など) の脅威に対処するための最も効果的な手段の 1 つとして、アプリケーション制御を頻繁に挙げます。

アプリケーション制御は悪意のあるコードに対してコンピューターを大幅に強化できますが、引き続き、エンタープライズ セキュリティ ポートフォリオを丸め込んだエンタープライズ ウイルス対策ソリューションを維持することをお勧めします。

Windows 10とWindows 11には、organizationの特定のシナリオと要件に応じてアプリケーション制御に使用できる 2 つのテクノロジが含まれています。

  • Windows Defender アプリケーション制御 (WDAC);および
  • AppLocker

WDAC とスマート アプリ コントロール

バージョン 22H2 Windows 11以降、Smart App Control はコンシューマーにアプリケーション制御を提供します。 スマート アプリ制御は WDAC に基づいており、企業のお客様は、基幹業務 (LOB) アプリを実行するようにカスタマイズする機能と同じセキュリティと互換性を提供するポリシーを作成できます。 このポリシーを実装しやすくするために、 ポリシーの例 を示します。 ポリシー例には、WDAC エンタープライズ ポリシーでサポートされていない Enabled:Conditional Windows Lockdown Policy オプションが含まれています。 このルールは、ポリシーの例を使用する前に削除する必要があります。 独自のポリシーを作成するための出発点としてこのポリシー例を使用するには、「 WDAC 基本ポリシーの例を使用してカスタム 基本ポリシーを作成する」を参照してください。

Smart App Control は、Windows 11 バージョン 22H2 以降のクリーンインストールでのみ使用でき、評価モードで開始されます。 ユーザーが最初にオンにしていない限り、エンタープライズ管理デバイスのスマート アプリ制御は自動的にオフになります。 organizationのエンドポイント全体でスマート アプリ制御をオフにするには、次の表に示すように、 の下に VerifiedAndReputablePolicyState (DWORD) レジストリ値を設定します。HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy レジストリ値を変更した後は、デバイスを再起動するか、CiTool.exe -r を 使用して変更を有効にする必要があります。

説明
0 オフ
1 適用
2 評価

重要

Smart App Control をオフにすると、Windows をリセットまたは再インストールしないと有効になりません。

スマート アプリコントロール強制ブロック

Smart App Control では、 Microsoft 推奨ドライバー ブロック規則Microsoft 推奨ブロック規則が適用されます。互換性に関する考慮事項にはいくつかの例外があります。 スマート アプリ コントロールでは、次の機能はブロックされません。

  • Infdefaultinstall.exe
  • Microsoft.Build.dll
  • Microsoft.Build.Framework.dll
  • Wslhost.dll

Windows エディションとライセンスに関する要件

次の表に、Windows Defender アプリケーション制御 (WDAC) をサポートする Windows エディションを示します。

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
はい はい はい はい

Windows Defender アプリケーション制御 (WDAC) ライセンスエンタイトルメントは、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。