AppLocker
適用対象
- Windows 10
- Windows 11
- Windows Server 2016 以上
注
Windows Defender アプリケーションコントロールの一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。
このトピックでは、AppLocker について説明します。また、組織が AppLocker アプリケーション制御ポリシーの展開によって恩恵を得られるかどうかを決定するために役立てることもできます。 AppLocker を使用すると、ユーザーが実行できるアプリとファイルを制御できます。 これらには、実行形式ファイル、スクリプト、Windows インストーラー ファイル、ダイナミックリンク ライブラリ (DLL)、パッケージ アプリ、パッケージ アプリのインストーラーが含まれています。
注
AppLocker は、オペレーティング システム上のシステム アカウントで実行されているプロセスを制御できません。
AppLocker は次の操作に役立ちます。
- 発行元の名前 (デジタル署名から派生)、製品名、ファイル名、ファイル バージョンなどのアプリの更新の間で保持されるファイル属性に基づいて規則を定義します。 ファイル パスやハッシュに基づいて規則を作成することもできます。
- セキュリティ グループまたは個々のユーザーに規則を割り当てます。
- 規則の例外を作成します。 たとえば、レジストリ エディター (regedit.exe) を除くすべての Windows バイナリの実行をすべてのユーザーに許可する規則を作成することができます。
- ポリシーの展開には監査のみのモードを使用して、適用する前に影響を把握します。
- ステージング サーバー上に規則を作成し、テストしてから、運用環境にエクスポートして、グループ ポリシー オブジェクトにインポートします。
- Windows PowerShell を使用して AppLocker の規則の作成と管理を簡略化します。
AppLocker を使用すると、管理オーバーヘッドを削減でき、ユーザーが実行している承認されていないアプリに起因するヘルプ デスクへの問い合わせ数が減少することによって組織のコンピューティング リソースの管理コストを削減できます。 AppLocker は次のアプリ セキュリティ シナリオに対応します。
アプリケーション インベントリ
AppLocker には、すべてのアプリ アクセス アクティビティがイベント ログに登録されている場合、監査のみのモードでそのポリシーを強制的に適用する機能があります。 さらに詳しい分析のために、これらのイベントを収集することができます。 Windows PowerShell コマンドレットも、このデータをプログラムで分析するために役立ちます。
望ましくないソフトウェアに対する保護
AppLocker には、許可されたアプリの一覧からアプリを除外した場合、その実行を拒否する機能があります。 運用環境で AppLocker ルールが適用されると、許可されたルールに含まれていないアプリはすべて実行がブロックされます。
ライセンス準拠
AppLocker を使用すると、ライセンスされていないソフトウェアを実行しないようにし、ライセンスされているソフトウェアを承認されているユーザーに限定する規則を作成できます。
ソフトウェアの標準化
AppLocker ポリシーは、ビジネス グループ内のコンピューターでの実行がサポートされているか、承認されているアプリのみを許可するように構成できます。 この構成により、より一様なアプリのデプロイが可能になります。
管理のやりやすさの向上
AppLocker には、以前のソフトウェア制限ポリシーと比較して、管理性の多くの改善が含まれています。 ソフトウェアの制限のポリシーからの強化点の一部としては、インポートおよびエクスポート ポリシー、複数のファイルからの規則の自動生成、監査のみのモードの展開、Windows PowerShell コマンドレットがあります。
AppLocker を使用する状況
多くの組織において、情報は最も重要な資産であり、承認されたユーザーのみがその情報にアクセスすることが重要です。 Active Directory Rights Management サービス (AD RMS)、アクセス制御リスト (ACL) などのアクセス制御テクノロジは、ユーザーがアクセスを許可される内容の制御に役立ちます。
ただし、ユーザーがプロセスを実行する場合、そのプロセスはユーザーが所有するデータと同じアクセス レベルになります。 この結果、ユーザーが故意にまたは気づかずに悪意のあるソフトウェアを実行すると、重要情報が簡単に削除されたり、組織外に送信されたりする可能性があります。 AppLocker を使用すると、ユーザーまたはグループが実行を許可されるファイルを制限することによってこれらの種類のセキュリティ侵害を軽減できます。 ソフトウェアの発行元は、管理者以外のユーザーがインストールできるさらに多くのアプリを作成しつつあります。 この特権は、組織の記述されたセキュリティ ポリシーを危険にさらし、ユーザーがアプリをインストールできないことに依存する従来のアプリ制御ソリューションを回避する可能性があります。 AppLocker は、承認されたファイルとアプリの許可された一覧を作成して、このようなユーザーごとのアプリの実行を防ぎます。 AppLocker は DLL を制御できるため、ActiveX コントロールをインストールして実行できるユーザーを制御することもできます。
AppLocker は、PC を管理するためにグループ ポリシーを現在使用している組織に適しています。
AppLocker を使用できるシナリオの例を次に示します。
- 組織のセキュリティ ポリシーにはライセンスされたソフトウェアのみを使用するよう定義されているため、ライセンスされていないソフトウェアをユーザーが実行しないようにする必要があり、ライセンスされたソフトウェアの使用を承認されたユーザーに制限する必要もある。
- アプリが組織でサポートされなくなったため、すべてのユーザーがこのアプリを使用できないようにする必要がある。
- 望ましくないソフトウェアが環境に入り込む可能性は高いため、この脅威を軽減する必要がある。
- アプリのライセンスが取り消されているか、組織で期限切れになっているため、すべてのユーザーが使用できないようにする必要があります。
- 新しいアプリまたはアプリの新しいバージョンが展開され、ユーザーの以前のバージョンの実行を防ぐ必要がある。
- 特定のソフトウェア ツールは組織内では許可されません。または、特定のユーザーのみがそれらのツールにアクセスできる必要があります。
- 一般ユーザーが使用できないアプリを、単一のユーザーまたは小規模グループのユーザーが使用できるようにする必要がある。
- 組織の一部のコンピューターはソフトウェアの使用法のニーズが異なるユーザーで共有されており、特定のアプリを保護する必要がある。
- その他の手段に加え、アプリを使った重要なデータへのアクセスを制御する必要があります。
注
AppLocker は、セキュリティ境界ではなく、多層防御の セキュリティ機能です。 Windows Defenderアプリケーション制御は、脅威に対して堅牢な保護を提供することを目標とし、セキュリティ機能がこの目標を達成するのを妨げる設計上の制限がないと予想される場合に使用する必要があります。
AppLocker を使用すると、組織内のデジタル資産を保護し、環境に導入された悪意のあるソフトウェアの脅威を軽減して、アプリケーション制御の管理とアプリケーション制御ポリシーのメンテナンスを強化できます。
AppLocker のインストール
AppLocker は、Windows のエンタープライズレベルのエディションに含まれています。 1 台のコンピューターまたはコンピューターのグループを対象として、AppLocker の規則を作成することができます。 1 台のコンピューターの場合は、ローカル セキュリティ ポリシー エディター (secpol.msc) を使用して、規則を作成できます。 コンピューターのグループの場合は、グループ ポリシー管理コンソール (GPMC) を使用して、グループ ポリシー オブジェクト内で規則を作成できます。
注
GPMC は、リモート サーバー管理ツールをインストールすることによってのみ、Windows を実行しているクライアント コンピューターで使用できます。 Windows Server を実行しているコンピューターには、グループ ポリシー管理機能をインストールする必要があります。
Server Core での AppLocker の使用
Server Core での AppLocker のインストールはサポートされていません。
仮想化に関する考慮事項
前に示したすべてのシステム要件を満たしていれば、Windows の仮想化されたインスタンスを使用して AppLocker ポリシーを管理できます。 グループ ポリシーを仮想化されたインスタンスで実行することもできます。 ただし、仮想化されたインスタンスが削除されるか、失敗すると、作成および管理したポリシーが失われる危険があります。
セキュリティに関する考慮事項
アプリケーション制御ポリシーで、ローカル コンピューターでの実行を許可するアプリを指定します。
悪意のあるソフトウェアにはさまざまなフォームがあるため、実行しても安全なものをユーザーが知ることが難しくなっています。 アクティブ化された場合、悪意のあるソフトウェアは、ハード ディスク ドライブのコンテンツを破損し、ネットワークに大量の要求を送りつけてサービス拒否 (DoS) 攻撃を発生させ、インターネットに機密情報を送信し、コンピューターのセキュリティに危害を与える可能性があります。
対策は、組織の PC でアプリケーション制御ポリシーの適正な設計を作成し、運用環境で展開する前にラボ環境で徹底的にテストすることです。 コンピューター上で実行を許可するソフトウェアを制御できるため、AppLocker はアプリ制御戦略の一部となります。
欠陥のあるアプリケーション制御ポリシーを実装すると、必要なアプリケーションが無効になったり、悪意のある、または意図されていないソフトウェアの実行を許可する可能性があります。 そのため、組織は、そのようなポリシーの実装を管理およびトラブルシューティングするのに十分なリソースを専念することが重要です。
特定のセキュリティの問題の詳細については、「 AppLocker のセキュリティに関する考慮事項」を参照してください。
AppLocker を使ってアプリケーション制御ポリシーを作成する場合は、次のセキュリティに関する考慮事項に注意する必要があります。
- だれが AppLocker ポリシーの設定権限を持っていますか?
- ポリシーが適用されていることを検証するにはどうすればよいですか?
- どのイベントを監査する必要がありますか?
セキュリティ計画の参考として、次の表に AppLocker がインストールされている PC のベースライン設定を示します。
| 設定 | 既定値 |
|---|---|
| 作成されたアカウント | なし |
| 認証方法 | 適用なし |
| 管理インターフェイス | AppLocker は、Microsoft 管理コンソール スナップイン、グループ ポリシーの管理、Windows PowerShell を使用して管理できます。 |
| 開かれているポート | なし |
| 最低限必要な特権 | ローカル コンピューターの管理者、ドメイン管理者、またはグループ ポリシー オブジェクトの作成、編集、配布を許可する、任意の一連の権限。 |
| 使用するプロトコル | 適用なし |
| スケジュールされたタスク | Appidpolicyconverter.exe をオンデマンドで実行するスケジュールされたタスクに配置します。 |
| セキュリティ ポリシー | 必要ありません。 AppLocker でセキュリティ ポリシーが作成されます。 |
| 必要なシステム サービス | アプリケーション ID サービス (appidsvc) は LocalServiceAndNoImpersonation で実行されます。 |
| 資格情報のストレージ | なし |
このセクションの内容
| トピック | 説明 |
|---|---|
| AppLocker の管理 | IT 担当者向けのこのトピックでは、AppLocker ポリシーを管理するときに使用する具体的な手順へのリンクを提供します。 |
| AppLocker 設計ガイド | この IT 担当者向けのガイドでは、AppLocker を使用してアプリケーション制御ポリシーを展開するために必要な設計と計画の手順を示します。 |
| AppLocker 展開ガイド | IT 担当者向けのこのトピックでは、AppLocker ポリシーの概念を紹介すると共に、ポリシーを展開するための手順について説明します。 |
| AppLocker テクニカル リファレンス | IT 担当者向けのこの概要トピックでは、テクニカル リファレンス トピックへのリンクを提供します。 |