Windows Defender アプリケーション制御と AppLocker の概要

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注

Windows Defender アプリケーションコントロール (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 WDAC 機能の可用性について詳しくは、こちらをご覧ください。

Windows 10とWindows 11には、organizationの特定のシナリオと要件に応じて、アプリケーション制御に使用できる 2 つのテクノロジ (Windows Defender アプリケーション制御 (WDAC) と AppLocker) が含まれています。

Windows Defender アプリケーション制御

WDAC はWindows 10で導入され、組織は Windows クライアントで実行できるドライバーとアプリケーションを制御できます。 これは、Microsoft Security Response Center (MSRC) によって定義された サービス条件の下でセキュリティ機能として設計されました。

WDAC ポリシーはマネージド コンピューター全体に適用され、デバイスのすべてのユーザーに影響します。 WDAC ルールは、次に基づいて定義できます。

• アプリとそのバイナリの署名に使用されるコード署名証明書の属性
• ファイルの署名済みメタデータ (元のファイル名とバージョン、ファイルのハッシュなど) から取得されるアプリのバイナリの属性
• Microsoft のインテリジェント セキュリティ グラフによって決定されるアプリの評判
• アプリとそのバイナリのインストールを開始したプロセスの ID (マネージド インストーラー)
• アプリまたはファイルの起動元のパス (バージョン 1903 以降Windows 10)
• アプリまたはバイナリを起動したプロセス

注

WDAC はもともと Device Guard の一部としてリリースされ、構成可能なコード整合性と呼ばれています。 Device Guard と構成可能なコードの整合性は、グループ ポリシー経由で WDAC ポリシーを展開する場所を見つける以外は使用されなくなりました。

WDAC システム要件

WDAC ポリシーは、Windows 10またはWindows 11の任意のクライアント エディション、または Windows Server 2016 以降で作成および適用できます。 WDAC ポリシーは、モバイル デバイス管理 (MDM) ソリューション (Intune、Configuration Manager などの管理インターフェイス、PowerShell などのスクリプト ホストなど) を介して展開できます。 グループ ポリシー WDAC ポリシーの展開にも使用できますが、Windows Server 2016と 2019 で動作する単一ポリシー形式のポリシーに制限されています。

特定の WDAC ビルドで使用できる個々の WDAC 機能の詳細については、「 WDAC 機能の可用性」を参照してください。

AppLocker

AppLocker は Windows 7 で導入され、組織は Windows クライアントで実行できるアプリケーションを制御できます。 AppLocker は、エンド ユーザーがコンピューターで承認されていないソフトウェアを実行できないようにするのに役立ちますが、セキュリティ機能であるというサービス条件を満たしていません。

AppLocker ポリシーは、コンピューター上のすべてのユーザー、または個々のユーザーとグループに適用できます。 AppLocker ルールは、次に基づいて定義できます。

• アプリとそのバイナリの署名に使用されるコード署名証明書の属性。
• ファイルの署名済みメタデータ (元のファイル名とバージョン、ファイルのハッシュなど) から取得されるアプリのバイナリの属性。
• アプリまたはファイルの起動元のパス。

AppLocker は、 マネージド インストーラー や インテリジェント セキュリティ グラフなど、WDAC の一部の機能でも使用されます。

AppLocker システム要件

AppLocker ポリシーは、サポートされているバージョンと Windows オペレーティング システムのエディションで実行されているデバイスでのみ構成および適用できます。 詳細については、「 AppLocker を使用するための要件」を参照してください。 AppLocker ポリシーは、グループ ポリシーまたは MDM を使用して展開できます。

WDAC または AppLocker を使用するタイミングを選択する

一般に、AppLocker ではなく WDAC を使用してアプリケーション制御を実装できるお客様は、これを行う必要があります。 WDAC は継続的な改善を行っており、Microsoft 管理プラットフォームからサポートが追加されています。 AppLocker は引き続きセキュリティ修正プログラムを受け取りますが、新機能の改善は得られません。

ただし、場合によっては、AppLocker がorganizationに適したテクノロジになる場合があります。 AppLocker は、次の場合に最適です。

• Windows オペレーティング システム (OS) 環境が混在しており、同じポリシー制御を Windows 10 以前のバージョンの OS に適用する必要があります。
• 共有コンピューター上のユーザーまたはグループごとに異なるポリシーを適用する必要があります。
• DLL やドライバーなどのアプリケーション ファイルに対してアプリケーション制御を適用する必要はありません。

AppLocker を WDAC の補完として展開して、一部のユーザーが特定のアプリを実行できないようにすることが重要な共有デバイス シナリオのユーザーまたはグループ固有のルールを追加することもできます。 ベスト プラクティスとして、organizationに可能な限り最も制限の厳しいレベルで WDAC を適用する必要があります。その後、AppLocker を使用して制限をさらに微調整できます。