Windows のアプリケーション制御
適用対象:
- Windows 10
- Windows 11
- Windows Server 2016 以上
注
Windows Defender アプリケーションコントロールの一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。
毎日何千もの悪意のあるファイルが新しく作成されているため、署名ベースの検出によってマルウェアに対抗するウイルス対策ソリューションのような従来の方法では、新しい攻撃を十分に防ぐことはできません。
ほとんどの組織では、情報が最も重要な資産であり、承認されたユーザーのみがその情報にアクセスできるようにすることが不可欠です。 ただし、ユーザーがプロセスを実行する場合、そのプロセスはユーザーが所有するデータと同じアクセス レベルになります。 この結果、ユーザーが故意にまたは気づかずに悪意のあるソフトウェアを実行すると、重要情報が簡単に削除されたり、組織外に送信されたりする可能性があります。
アプリケーション制御は、ユーザーが実行できるアプリケーションと System Core (カーネル) で実行されるコードを制限することで、これらの種類のセキュリティ上の脅威を軽減するのに役立ちます。 アプリケーション制御ポリシーでは、署名されていないスクリプトと MSI をブロックし、制約付き言語モードで実行するようにWindows PowerShellを制限することもできます。
アプリケーション制御は、今日の脅威環境を考えると企業を保護するための重要な防御ラインであり、従来のウイルス対策ソリューションよりも本質的な利点があります。 具体的には、アプリケーション制御は、すべてのアプリケーションが信頼できると見なされるアプリケーション信頼モデルから、アプリケーションを実行するために信頼を得る必要があるアプリケーションに移動します。 オーストラリア信号局のような多くの組織は、アプリケーション制御の重要性を理解し、実行可能ファイルベースのマルウェア (.exe、.dllなど) の脅威に対処するための最も効果的な手段の 1 つとして、アプリケーション制御を頻繁に挙げます。
注
アプリケーション制御は悪意のあるコードに対してコンピューターを大幅に強化できますが、引き続き、エンタープライズ セキュリティ ポートフォリオを丸め込んだエンタープライズ ウイルス対策ソリューションを維持することをお勧めします。
Windows 10とWindows 11には、組織の特定のシナリオと要件に応じてアプリケーション制御に使用できる 2 つのテクノロジが含まれています。
- Windows Defender アプリケーション制御 (WDAC);および
- AppLocker
WDAC とスマート アプリ コントロール
バージョン 22H2 Windows 11以降、Smart App Control はコンシューマーにアプリケーション制御を提供します。 スマート アプリ制御は WDAC に基づいており、企業のお客様は、基幹業務 (LOB) アプリを実行するようにカスタマイズする機能と同じセキュリティと互換性を提供するポリシーを作成できます。 このポリシーを実装しやすくするために、 ポリシーの例 を示します。 このポリシーの例には、WDAC エンタープライズ ポリシーではサポートされていない Enabled:Conditional Windows Lockdown Policy ルールが含まれています。 このルールは、ポリシーの例を使用する前に削除する必要があります。 独自のポリシーを作成するための出発点としてこのポリシー例を使用するには、「 WDAC 基本ポリシーの例を使用してカスタム 基本ポリシーを作成する」を参照してください。
Smart App Control は、Windows 11 バージョン 22H2 以降のクリーン インストールでのみ使用でき、評価モードで開始されます。 スマート アプリコントロールは、ユーザーが最初にオンにしていない限り、エンタープライズ管理デバイスでは自動的にオフになります。 組織のエンドポイント全体で Smart App Control をオンまたはオフにするには、 VerifiedAndReputablePolicyState (DWORD) レジストリ値 HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy を以下に示す値のいずれかに設定します。 レジストリ値を変更した後は、デバイスを再起動するか、 RefreshPolicy.exe を実行して変更を有効にする必要があります。
| 値 | 説明 |
|---|---|
| 0 | オフ |
| 1 | 適用 |
| 2 | 評価 |
重要
Smart App Control をオフにすると、Windows をリセットまたは再インストールしないと有効になりません。
スマート アプリコントロール強制ブロック
Smart App Control では、 Microsoft 推奨ドライバー ブロック規則 と Microsoft 推奨ブロック規則が適用されます。互換性に関する考慮事項にはいくつかの例外があります。 スマート アプリ コントロールでは、次の機能はブロックされません。
- Infdefaultinstall.exe
- Microsoft.Build.dll
- Microsoft.Build.Framework.dll
- Wslhost.dll