AppLocker の技術概要
対象: Windows 8.1、Windows Server 2012 R2、Windows Server 2012、Windows 8 Enterprise
IT 担当者向けのこの技術概要は、AppLocker について説明します。 この情報は、AppLocker のアプリケーション制御ポリシーをデプロイすることによって組織にメリットがあるかどうかを判断するのに役立ちます。 AppLocker を利用することで、管理者は、ユーザーが実行できるアプリケーションとファイルを指定できます。 これには、実行可能ファイル、スクリプト、Windows インストーラー ファイル、ダイナミック リンク ライブラリ (DLL)、パッケージ アプリ、およびパッケージ アプリのインストーラーが含まれます。
ヒント
このライブラリからページをデジタル保存または印刷するには、[エクスポート] (ページの右上隅にある) をクリックして、表示される指示に従います。
AppLocker の使用効果
AppLocker を使うと、次の作業を実行できます。
発行元の名前 (デジタル署名から派生)、製品名、ファイル名、ファイル バージョンなど、アプリケーションの更新後も維持されるファイル属性に基づいて規則を定義する。 ファイルのパスやハッシュに基づいて規則を作成することもできます。
セキュリティ グループまたは個々のユーザーに規則を割り当てる。
規則の例外を作成する。 たとえば、レジストリ エディター (Regedit.exe) を除くすべての Windows バイナリの実行をすべてのユーザーに許可する規則を作成できます。
ポリシーを監査のみのモードで展開し、実際に実施する前に影響を把握する。
ステージング サーバー上で規則を作成し、テストした後、規則を運用環境にエクスポートし、それをグループ ポリシー オブジェクトにインポートする。
AppLocker の Windows PowerShell コマンドレットを使用すると、AppLocker 規則の作成および管理が簡素化されます。
AppLocker を使用すると、ユーザーが未承認のアプリケーションを実行することによるヘルプ デスクの呼び出し回数が削減されるので、管理上の負担が削減されて、コンピューター リソースを管理するための組織のコストも削減できます。 AppLocker を使用すると、次のアプリケーション セキュリティ シナリオに対応できます。
アプリケーション インベントリ
AppLocker には、監査のみのモードでポリシーを実施する機能が用意されています。このモードでは、すべてのアプリケーション アクセス アクティビティがイベント ログに登録されます。 これらのイベントは、詳しく分析できるように収集できます。 Windows PowerShell コマンドレットもこのデータをプログラムで分析するのに役立ちます。
不要なソフトウェアに対する保護
AppLocker では、許可するアプリケーションの一覧からアプリケーションを除外することによって、アプリケーションの実行を拒否できます。 運用環境で AppLocker の規則を適用すると、許可規則に含まれないすべてのアプリケーションの実行がブロックされます。
ライセンス準拠
AppLocker を使用すると、ライセンス許諾されていないソフトウェアが実行されないようにし、ライセンス許諾されたソフトウェアを承認済みユーザーに制限する規則を作成できます。
ソフトウェアの標準化
AppLocker ポリシーは、サポートまたは承認されているアプリケーションのみビジネス グループ内のコンピューターで実行することを許可するように構成できます。 これにより、一貫性のあるアプリケーション展開が可能になります。
管理の容易性の向上
AppLocker には、ソフトウェアの制限のポリシーと比較して、管理の容易性の面で多くの強化点があります。 たとえば、ソフトウェア制限ポリシーに対する強化点として、ポリシーのインポートとエクスポート、複数のファイルからの規則の自動生成、監査のみのモードの展開、および Windows PowerShell コマンドレットがあります。
AppLocker を使用する状況
多くの組織では、情報が最も重要な資産であり、承認されたユーザーしかその情報にアクセスできないようにすることが不可欠です。 Active Directory Rights Management サービス (AD RMS) やアクセス制御リスト (ACL) などのアクセス制御テクノロジを使用すると、ユーザーからのアクセスを許可する対象を制御できます。
ただし、ユーザーがプロセスを実行する場合、そのプロセスでは、ユーザーと同じデータ アクセス レベルが使用されます。 そのため、ユーザーが意図的または意図せずに悪意のあるソフトウェアを実行することにより、機密情報が簡単に削除されたり、組織外に送信されたりする可能性があります。 AppLocker では、ユーザーまたはグループが実行できるファイルを制限することで、このようなセキュリティ侵害を軽減できます。
ソフトウェア発行元によって作成されるアプリケーションには、管理者以外のユーザーがインストールできるものが増えています。 その結果、組織の作成済みのセキュリティ ポリシーに違反し、ユーザーによるアプリケーションのインストールが許可されない従来のアプリケーション制御ソリューションを迂回する可能性があります。 AppLocker では、許可されるファイルおよびアプリケーションのリストを管理者が作成することができます。これにより、このようなユーザーごとのアプリケーションの実行を回避できます。 AppLocker は DLL を制御できるため、ActiveX コントロールをインストールして実行できるユーザーの管理にも有用です。
AppLocker は、グループ ポリシーを使用して Windows ベースのコンピューターを管理している組織に最適です。 AppLocker はオーサリングとデプロイに関してグループ ポリシーに依存するため、AppLocker を使用する場合はグループ ポリシーの使用経験が役に立ちます。
AppLocker を使用できるシナリオの例を次に示します。
ライセンス許諾されたソフトウェアだけを使用するように組織のセキュリティ ポリシーで指定されているため、ライセンス許諾されていないソフトウェアがユーザーによって実行されないようにすると共に、ライセンス許諾されたソフトウェアの使用を承認済みユーザーに制限する必要がある。
アプリケーションが組織でサポートされなくなったため、そのアプリケーションをだれも使用できないようにする必要がある。
不要なソフトウェアが環境に入り込む可能性が高いため、この脅威を軽減する必要がある。
組織でアプリケーションのライセンスが失効したか、期限切れになったため、そのアプリケーションをだれも使用できないようにする必要がある。
新しいアプリケーションまたは新しいバージョンのアプリケーションが展開された後、ユーザーによって古いアプリケーションが実行されないようにする必要がある。
特定のソフトウェア ツールを組織内で使用できないようにする。または、特定のユーザーだけがそのツールを使用できるようにする。
特定のアプリケーションについて、1 人のユーザーまたは小規模なユーザー グループには使用を許可し、それ以外のユーザーには使用を禁止する。
ソフトウェアの使用について異なるニーズを持つ複数のユーザーによって組織内の一部のコンピューターが共有され、特定のアプリケーションを保護する必要がある。
他の方法に加えて、アプリケーションの使用を管理することで機密データへのアクセスを制御する必要がある。
AppLocker は、組織内のデジタル資産の保護、悪意のあるソフトウェアが組織に入り込む危険性の軽減、アプリケーション制御の管理とアプリケーション制御ポリシーの保守の強化に役立ちます。
バージョン、相互運用性、および機能の相違
サポートされるバージョンと相互運用性に関する考慮事項
AppLocker ポリシーは、サポートされるバージョンおよびエディションの Windows オペレーティング システムが搭載されているコンピューターでのみ構成および適用できます。 詳細については、「AppLocker を使用するための要件」を参照してください。
バージョン間の機能の相違
次の表に、AppLocker の主な機能についてオペレーティング システム バージョンごとの機能の相違を示します。
| 機能 | Windows Server 2008 R2 および Windows 7 | Windows Server 2012 R2、Windows Server 2012、Windows 8.1、Windows 8 |
|---|---|---|
| パッケージ アプリとパッケージ アプリのインストーラーの規則を設定する機能。 | いいえ | はい |
| AppLocker ポリシーはグループ ポリシーを通じて管理され、コンピューターの管理者しか AppLocker ポリシーを更新できません。 | はい | はい |
| AppLocker では、管理者がヘルプを提供する Web ページにユーザーを誘導できるように、エラー メッセージをカスタマイズできます。 | はい | はい |
| (別の GPO を使用した) ソフトウェアの制限のポリシーと連携する機能。 | はい | はい |
| AppLocker は、管理と保守に役立つ少数の Windows PowerShell コマンドレットをサポートしています。 | はい | はい |
| AppLocker の規則では、次のファイル形式を制御できます。 | - .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .dll - .ocx |
- .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .mst - .dll - .ocx - .appx |
ソフトウェアの制限のポリシーと AppLocker のアプリケーション制御機能の比較およびこれらの 2 つの機能を組み合わせて使用する方法については、「同じドメイン内の AppLocker とソフトウェアの制限のポリシーを使用します。」を参照してください。
システム要件
AppLocker ポリシーは、サポートされるバージョンおよびエディションの Windows オペレーティング システムが搭載されているコンピューターでのみ構成および適用できます。 AppLocker ポリシーを含むグループ ポリシー オブジェクトを配布するには、グループ ポリシーが必要です。 詳細については、「AppLocker を使用するための要件」を参照してください。
AppLocker の規則は、ドメイン コントローラー上に作成できます。
注意
パッケージ アプリおよびパッケージ アプリのインストーラー用の規則を作成または適用する機能は、Windows Server 2008 R2 と Windows 7 にはありません。
AppLocker のインストール
AppLocker は、Windows のエンタープライズ レベルのエディションに用意されています。 AppLocker 規則は、単一のコンピューターまたはコンピューターのグループに対して作成できます。 単一のコンピューターの場合は、ローカル セキュリティ ポリシー エディター (secpol.msc) を使用して規則を作成できます。 コンピューターのグループの場合は、グループ ポリシー管理コンソール (GPMC) を使用してグループ ポリシー オブジェクト内に規則を作成できます
注意
GPMC は、リモート サーバー管理ツールをインストールすることによってのみ、Windows を搭載するクライアント コンピューターで使用できます。 Windows Server を搭載するコンピューターでは、グループ ポリシー管理機能をインストールする必要があります。
Server Core での AppLocker の使用
Windows PowerShell を使用すると、AppLocker コマンドレットを使用して Server Core インストール上の AppLocker を管理できます (GPO 内で管理される場合はグループ ポリシー PowerShell コマンドレットを使用)。 詳細については、「AppLocker PowerShell Command Reference (AppLocker PowerShell コマンド リファレンス)」を参照してください。
仮想化に関する考慮事項
上記のすべてのシステム要件が満たされる場合は、Windows の仮想化されたインスタンスを使用して AppLocker ポリシーを管理できます。 仮想化されたインスタンス内でグループ ポリシーを実行することもできます。 ただし、仮想化されたインスタンスが削除されたり失敗した場合は、作成済みのポリシーが失われる危険性があります。
セキュリティに関する考慮事項
アプリケーション制御ポリシーは、ローカル コンピューターでの実行が許可されるプログラムを指定します。
悪意のあるソフトウェアは多種多様であり、ソフトウェアを実行しても問題がないかどうかをユーザーが判断するのは困難です。 悪意のあるソフトウェアが実行されると、ハード ディスク ドライブの内容が破壊されたり、ネットワークに大量の要求を送信することによるサービス拒否 (DoS) 攻撃が行われたりします。また、機密情報がインターネットに流出したり、コンピューターのセキュリティが侵害されたりします。
その対策としては、組織のエンド ユーザー コンピューターのアプリケーション制御ポリシーを十分に配慮して設計し、ラボ環境でポリシーのテストを徹底的に行ったうえで、ポリシーを運用環境に展開します。 コンピューター上でどのソフトウェアに実行許可を与えるかを制御できるため、AppLocker はアプリケーション制御戦略の一部として利用できます。
アプリケーション制御ポリシー実装に不備があると、必要なアプリケーションが無効化されたり、悪意のあるソフトウェアまたは意図されていないソフトウェアが実行されたりする可能性があります。 したがって、このようなポリシーの実装の管理およびトラブルシューティングを行うために十分なリソースを割り当てることが組織にとって重要です。
特定のセキュリティ上の問題に関するその他の情報については、「AppLocker のセキュリティに関する考慮事項」を参照してください。
AppLocker を使用してアプリケーション制御ポリシーを作成する場合は、次のセキュリティ上の注意事項を把握しておく必要があります。
AppLocker ポリシーを設定する権限を持つのはだれか。
ポリシーの適用をどのように検証するか。
監査する対象となるイベントは何か。
セキュリティを計画する際の参考として、AppLocker 機能がインストールされたクライアント コンピューターのためのベースライン設定を次の表に示します。
| 設定 | 既定値 |
|---|---|
| 作成されるアカウント | None |
| 認証方法 | 適用できません |
| 管理インターフェイス | AppLocker は、Microsoft 管理コンソール スナップイン、グループ ポリシーの管理、および Windows PowerShell を使用して管理できます。 |
| 開かれるポート | None |
| 必要な最小限の特権 | ローカル コンピューター上の管理者、ドメイン管理者、またはグループ ポリシー オブジェクトを作成、編集、および配布できる任意の権限のセット。 |
| 使用プロトコル | 適用できません |
| スケジュールされたタスク | Appidpolicyconverter.exe がタスクとしてスケジュールされ、オンデマンドで実行されます。 |
| セキュリティ ポリシー | 必要ありません。 AppLocker によってセキュリティ ポリシーが作成されます。 |
| 必要なシステム サービス | LocalServiceAndNoImpersonation で実行されるアプリケーション ID サービス (appidsvc) |
| 資格情報の格納 | None |
AppLocker ポリシーの保守
Applocker ポリシーの保守に関する情報については、以下のトピックを参照してください。
関連項目
| リソース | Windows Server 2008 R2 および Windows 7 | Windows Server 2012 R2、Windows Server 2012、Windows 8.1、Windows 8 |
|---|---|---|
| 製品評価 | AppLocker: Frequently Asked Questions (AppLocker: よく寄せられる質問) AppLocker ステップ バイ ステップ ガイドに関するページ |
AppLocker: Frequently Asked Questions (AppLocker: よく寄せられる質問) AppLocker ステップ バイ ステップ ガイドに関するページ |
| 手順 | AppLocker の運用ガイドに関するページ | AppLocker を管理します。 AppLocker でパッケージ アプリを管理する |
| スクリプト作成 | AppLocker Windows PowerShell コマンドレットの使用に関するページ | AppLocker の Windows PowerShell コマンドレットを使用してください。 |
| 技術的なコンテンツ | AppLocker テクニカル リファレンスに関するページ | AppLocker テクニカル リファレンスに関するページ |
| 設計、計画、および展開 | AppLocker ポリシー設計ガイドに関するページ AppLocker Policies Deployment Guide (AppLocker ポリシー展開ガイド) |
AppLocker ポリシー設計ガイドに関するページ AppLocker Policies Deployment Guide (AppLocker ポリシー展開ガイド) |