AppLocker とは

適用対象

  • Windows 10
  • Windows 11
  • Windows Server 2016 以上

Windows Defender アプリケーションコントロールの一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

IT プロフェッショナル向けのこのトピックでは、AppLocker とは何か、その機能とソフトウェア制限ポリシーの違いについて説明します。

AppLocker は、ソフトウェア制限ポリシーのアプリ制御機能と機能を進めます。 AppLocker には、ファイルの一意の ID に基づいてアプリの実行を許可または拒否するルールを作成し、それらのアプリを実行できるユーザーまたはグループを指定できる新しい機能と拡張機能が含まれています。

AppLocker を使用すると、次のことができます。

  • 実行可能ファイル (.exe と .com)、スクリプト (.js、.ps1、.vbs、.cmd、および.bat)、Windows インストーラー ファイル (.mst、.msi、.msp)、DLL ファイル (.dll と .ocx)、パッケージ化されたアプリとパッケージ化されたアプリ インストーラー (appx) を制御します。
  • 発行元、製品名、ファイル名、ファイルバージョンなど、デジタル署名から派生したファイル属性に基づいてルールを定義します。 たとえば、更新によって永続的なパブリッシャー属性に基づいてルールを作成したり、特定のバージョンのファイルのルールを作成したりできます。
  • セキュリティ グループまたは個々のユーザーに規則を割り当てます。
  • 規則の例外を作成します。 たとえば、レジストリ エディター (Regedit.exe) を除くすべての Windows プロセスを実行できるようにするルールを作成できます。
  • ポリシーの展開には監査のみのモードを使用して、適用する前に影響を把握します。
  • ルールのインポートとエクスポート。 インポートとエクスポートは、ポリシー全体に影響します。 たとえば、ポリシーをエクスポートすると、ルール コレクションの適用設定を含め、すべてのルール コレクションのすべてのルールがエクスポートされます。 ポリシーをインポートすると、既存のポリシーのすべての条件が上書きされます。
  • Windows PowerShell コマンドレットを使用して、AppLocker ルールの作成と管理を効率化します。

AppLocker は、管理オーバーヘッドを削減し、承認されていないアプリを実行したユーザーによるヘルプ デスク呼び出しの数を減らすことで、コンピューティング リソースを管理する組織のコストを削減するのに役立ちます

AppLocker が対処するアプリケーション制御シナリオの詳細については、「 AppLocker ポリシーの使用シナリオ」を参照してください。

ソフトウェア制限ポリシーと AppLocker の間で異なる機能は何ですか?

機能の違い

次の表では、AppLocker とソフトウェア制限ポリシーを比較します。

機能 ソフトウェア制限ポリシー AppLocker
ルール スコープ すべてのユーザー 特定のユーザーまたはグループ
指定されたルール条件 ファイル ハッシュ、パス、証明書、レジストリ パス、インターネット ゾーン ファイル ハッシュ、パス、および発行元
指定されたルールの種類 セキュリティ レベルによって定義されます。
  • Disallowed
  • Basic ユーザー
  • 制限なし
  • 許可と拒否
    既定のルール アクション 制限なし 暗黙的な拒否
    監査専用モード なし はい
    一度に複数のルールを作成するウィザード なし はい
    ポリシーのインポートまたはエクスポート なし はい
    規則のコレクション なし はい
    Windows PowerShellサポート なし はい
    カスタム エラー メッセージ なし はい

    アプリケーション制御関数の違い

    次の表は、ソフトウェア制限ポリシー (SRP) と AppLocker のアプリケーション制御機能を比較したものです。

    アプリケーション制御関数 Srp AppLocker
    オペレーティング システムのスコープ SRP ポリシーは、Windows XP および Windows Server 2003 以降のすべての Windows オペレーティング システムに適用できます。 AppLocker ポリシーは、「 AppLocker を使用するための要件」に記載されているサポートされているオペレーティング システムのバージョンとエディションにのみ適用されます。 ただし、これらのシステムでは SRP を使用することもできます。
    メモ: SRP 規則と AppLocker 規則に異なる GPO を使用します。
    ユーザー サポート SRP を使用すると、ユーザーは管理者としてアプリケーションをインストールできます。 AppLocker ポリシーはグループ ポリシーによって管理され、デバイスの管理者のみが AppLocker ポリシーを更新できます。

    AppLocker を使用すると、ユーザーを Web ページに誘導してヘルプを表示するエラー メッセージをカスタマイズできます。

    ポリシーのメンテナンス SRP ポリシーは、ローカル セキュリティ ポリシー スナップインまたはグループ ポリシー管理コンソール (GPMC) を使用して更新されます。 AppLocker ポリシーは、ローカル セキュリティ ポリシー スナップインまたは GPMC を使用して更新されます。

    AppLocker では、管理とメンテナンスを支援するために、PowerShell コマンドレットの小さなセットがサポートされています。

    ポリシー管理インフラストラクチャ SRP ポリシーを管理するために、SRP はドメイン内のグループ ポリシーとローカル コンピューターのローカル セキュリティ ポリシー スナップインを使用します。 AppLocker ポリシーを管理するために、AppLocker はドメイン内のグループ ポリシーとローカル コンピューターのローカル セキュリティ ポリシー スナップインを使用します。
    悪意のあるスクリプトをブロックする 悪意のあるスクリプトをブロックするための規則により、組織によってデジタル署名されたスクリプトを除き、Windows スクリプト ホストに関連付けられているすべてのスクリプトが実行されなくなります。 AppLocker ルールは、.ps1、.bat、.cmd、.vbs、および.jsのファイル形式を制御できます。 さらに、特定のファイルの実行を許可するように例外を設定できます。
    ソフトウェアのインストールを管理する SRP は、すべての Windows インストーラー パッケージのインストールを妨げる可能性があります。 これにより、組織によってデジタル署名された.msiファイルをインストールできます。 Windows インストーラー規則コレクションは、クライアント コンピューターとサーバー上のファイルのインストールを制御できるようにするために、Windows インストーラー ファイルの種類 (.mst、.msi、.msp) 用に作成された規則のセットです。
    コンピューター上のすべてのソフトウェアを管理する すべてのソフトウェアは、1 つのルール セットで管理されます。 既定では、デバイス上のすべてのソフトウェアを管理するためのポリシーは、Windows フォルダー、Program Files フォルダー、またはサブフォルダーにインストールされているソフトウェアを除き、ユーザーのデバイス上のすべてのソフトウェアを禁止します。 SRP とは異なり、各 AppLocker 規則コレクションは、許可されたファイルの一覧として機能します。 ルール コレクション内に一覧表示されているファイルのみが実行できます。 この構成により、管理者は AppLocker 規則が適用されたときに何が発生するかを簡単に判断できます。
    ユーザーごとに異なるポリシー ルールは、特定のデバイス上のすべてのユーザーに均一に適用されます。 複数のユーザーが共有するデバイスでは、管理者は、インストールされているソフトウェアにアクセスできるユーザーのグループを指定できます。 管理者は AppLocker を使用して、特定のルールを適用するユーザーを指定します。