同じドメインでの AppLocker とソフトウェアの制限のポリシーの使用
IT 担当者向けのこのトピックでは、ソフトウェアの制限のポリシーと AppLocker を使ってアプリケーション制御戦略を管理する場合に役立つように、その概念と手順について説明します。
同じドメインでの AppLocker とソフトウェアの制限のポリシーの使用
AppLocker は、Windows 7 以上を実行しているシステムでサポートされます。ソフトウェアの制限のポリシー (SRP) は、Windows Vista 以前を実行しているシステムでサポートされます。Windows 7 より前のコンピューターでも、アプリケーション制御に SRP を使うことができますが、Windows Server 2008 R2、Windows 7 およびそれ以降を実行しているコンピューターについては AppLocker を使用してください。AppLocker と SRP の規則はそれぞれ別の GPO に作成し、SRP ポリシーが指定された GPO は、Windows Vista 以前を実行しているシステムを対象にすることをお勧めします。SRP と AppLocker の両方のポリシーが Windows Server 2008 R2、Windows 7 およびそれ以降を実行しているコンピューターに適用されている場合、SRP ポリシーは無視されます。
次の表で、ソフトウェアの制限のポリシー (SRP) と AppLocker の機能を比較します。
| アプリケーション制御機能 | SRP | AppLocker |
|---|---|---|
スコープ |
SRP ポリシーは、Windows XP および Windows Server 2003 以降のすべての Windows オペレーティング システムに適用できます。 |
AppLocker ポリシーは、Windows Server 2008 R2、Windows 7、およびそれ以降にのみ適用されます。 |
ポリシーの作成 |
SRP ポリシーはグループ ポリシーで管理され、GPO の管理者のみが SRP ポリシーを更新できます。ローカル コンピューターの管理者は、ローカル GPO で定義された SRP ポリシーを変更できます。 |
AppLocker ポリシーはグループ ポリシーで管理され、GPO の管理者のみがポリシーを更新できます。ローカル コンピューターの管理者は、ローカル GPO で定義された AppLocker ポリシーを変更できます。 エラー メッセージをカスタマイズして、ヘルプの Web ページをユーザーに表示できます。 |
ポリシーの保守 |
SRP ポリシーを更新するには、ローカル セキュリティ ポリシー スナップイン (ポリシーがローカルに作成されている場合) またはグループ ポリシー管理コンソール (GPMC) を使う必要があります。 |
AppLocker ポリシーは、ローカル セキュリティ ポリシー スナップイン (ポリシーがローカルに作成されている場合)、GPMC、または Windows PowerShell の AppLocker コマンドレットを使って更新できます。 |
ポリシーの適用 |
SRP ポリシーは、グループ ポリシーを介して配布されます。 |
AppLocker ポリシーは、グループ ポリシーを介して配布されます。 |
実施モード |
SRP は "拒否リスト モード" で動作します。このモードでは、管理者が、このエンタープライズで許可したくないファイルに対して規則を作成できます。それ以外のファイルについては、既定で実行が許可されます。 "許可リスト モード" で SRP を構成することもできます。この場合は、すべてのファイルが既定でブロックされており、管理者は、許可するファイルに対して許可規則を作成する必要があります。 |
AppLocker は、既定では "許可リスト モード" で動作します。このモードでは、一致する許可規則があるファイルについてのみ、実行が許可されます。 |
制御できるファイルの種類 |
SRP では、次のファイルの種類を制御できます。
SRP では、ファイルの種類を個別に制御できません。SRP の規則すべてが 1 つの規則のコレクションに含まれます。 |
AppLocker では、次のファイルの種類を制御できます。
AppLocker は、5 つのファイルの種類それぞれに対して、個別の規則のコレクションを保持します。 |
指定されたファイルの種類 |
SRP では、実行可能なファイルの種類の一覧をサポートしています。この一覧は拡張できます。管理者は、実行可能と見なす必要があるファイルの拡張子を追加できます。 |
AppLocker では、現在、次のファイル拡張子がサポートされます。
|
規則の種類 |
SRP では、4 つの規則の種類がサポートされます。
|
AppLocker では、3 つの規則の種類がサポートされます。
|
ハッシュ値の編集 |
Windows XP では、SRP を使ってカスタム ハッシュ値を指定できます。 Windows 7 および Windows Server 2008 R2 以降では、ハッシュするファイルを選択できますが、ハッシュ値を指定することはできません。 |
AppLocker では、ハッシュ値自体が計算されます。内部的には、移植可能な実行可能ファイル (exe、dll) と Windows インストーラーについては SHA2 Authenticode ハッシュが、それ以外については SHA2 フラット ファイル ハッシュが使用されます。 |
さまざまなセキュリティ レベルのサポート |
SRP では、アプリを実行するためのアクセス許可を指定できます。したがって、メモ帳は管理者特権ではなく必ず制限付き権限で実行する、などの規則を構成できます。 Windows Vista 以前の SRP では、複数のセキュリティ レベルがサポートされます。Windows 7 では、セキュリティ レベルが "許可しない" と "制限しない" の 2 つに制限されています (基本ユーザーは "許可しない" に変換されます)。 |
AppLocker では、セキュリティ レベルがサポートされません。 |
パッケージ アプリおよびパッケージ アプリのインストーラーの管理 |
サポートされません。 |
.appx は、AppLocker が管理できる有効なファイルの種類です。 |
ユーザーまたはユーザー グループへの規則のターゲット設定 |
SRP の規則は、特定のコンピューター上のすべてのユーザーに適用されます。 |
AppLocker 規則は、特定のユーザーまたはユーザー グループを対象にできます。 |
規則の例外のサポート |
SRP では、規則の例外がサポートされません。 |
AppLocker 規則では例外を指定できます。たとえば、"Windows で regedit.exe を除くすべてを許可する" などの規則を作成できます。 |
監査モードのサポート |
SRP では、監査モードがサポートされません。SRP ポリシーをテストする唯一の方法は、テスト環境をセットアップして、何回か試してみることです。 |
AppLocker では、監査モードがサポートされます。このモードでは、ユーザー エクスペリエンスに影響を与えずに、実際の運用環境でポリシーの影響をテストできます。結果に問題がなければ、ポリシーの実施を開始できます。 |
ポリシーのエクスポートとインポートのサポート |
SRP では、ポリシーのインポート/エクスポートがサポートされません。 |
AppLocker では、ポリシーのインポートとエクスポートがサポートされます。これにより、サンプル デバイスで AppLocker ポリシーを作成し、テストしてから、そのポリシーをエクスポートし、目的の GPO にインポートすることができます。 |
規則の実施 |
内部的に、SRP の規則は、安全性の低いユーザー モードで実施されます。 |
内部的に、.exe ファイルおよび .dll ファイルに対する AppLocker 規則は、ユーザー モードより安全なカーネル モードで実施されます。 |