Windows Server 2008 R2 および Windows 7 における AppLocker の新機能

Windows AppLocker は、Windows® 7 および Windows Server® 2008 R2 でソフトウェアの制限のポリシー機能に代わる新機能です。AppLocker には、管理オーバーヘッドを削減し、ユーザーがファイルにアクセスする方法やファイルを使用する方法を管理者が制御できる新機能や拡張機能が含まれています。制御できるファイルには、.exe ファイル、スクリプト、Windows インストーラー ファイル (.msi ファイルや .msp ファイル)、DLL などがあります。

AppLocker を使用すると、以下のことが可能になります。

• 発行元、製品名、ファイル名、ファイル バージョンなど、デジタル署名から導き出される属性を基に規則を定義できます。たとえば、更新プログラム全体を通じて変化しない発行元属性とファイル バージョン属性を基に規則を作成することも、ファイルの特定のバージョンを対象とする規則を作成することもできます。

  重要

  AppLocker の規則は、実行を許可するファイルを指定します。規則に含まれないファイルは実行を許可されません。

• 規則は、セキュリティ グループまたは個別のユーザーに割り当てることができます。

  注意

  AppLocker の規則は、インターネット ゾーン、個別のコンピューター、およびレジストリ パスに割り当てることはできません。

• .exe ファイルの例外を作成できます。たとえば、Regedit.exe を除く、すべての Windows プロセスの実行を許可する規則を作成できます。

• 監査のみモードを使用して、ポリシーが有効であった場合に実行が許可されないファイルを特定できます。

• 規則は、インポートおよびエクスポートできます。

AppLocker は、以下のことが必要な組織に役立つ可能性があります。

• ライセンスが許可されていないソフトウェアや悪意のあるソフトウェアの実行を阻止したり、ActiveX コントロールのインストールを制限したりすることで、実行を許可するファイルの数や種類を制限する。

• ワークステーションの種類を企業全体で統一し、企業が承認するソフトウェアとアプリケーションしかユーザーが実行できないようにして、総保有コストを削減する。

• 許可されていないソフトウェアから情報が漏洩する可能性を下げる。

また、現在グループ ポリシー オブジェクト (GPO) を使用して Windows ベースのコンピューターを管理したり、ユーザーごとにアプリケーションをインストールしたりしている組織も、AppLocker の対象になります。

• 既定では、AppLocker の規則により、ユーザーは、明確に許可されていないファイルを開いたり実行したりすることはできません。そのため、管理者は、許可するアプリケーションの一覧を最新状態にしておく必要があります。

• アプリケーションがブロックされるため、最初は、ヘルプ デスクへの問い合わせ件数が増加することが予想されます。許可されていないアプリケーションを実行できないことをユーザーが理解し始めると、ヘルプ デスクへの問い合わせは減少するでしょう。

• ランタイム チェックによるパフォーマンスの低下が最小限に抑えられます。

• AppLocker はグループ ポリシーのメカニズムと似ているため、管理者はグループ ポリシーの作成と展開を理解しておく必要があります。

• AppLocker の規則を使用して、Windows 7 より前の Windows オペレーティング システムを実行しているコンピューターを管理することはできません。

• AppLocker の規則が GPO で定義されている場合は、この規則のみが適用されます。ソフトウェアの制限のポリシーの規則と AppLocker の規則との間で相互運用性を確保するには、ソフトウェアの制限のポリシーの規則と AppLocker の規則を別々の GPO で定義します。

• AppLocker の規則が [監査のみ] に設定されている場合、この規則は適用されません。規則に含まれているアプリケーションをユーザーが実行すると、アプリケーションは正常に起動して実行され、そのアプリケーションに関する情報が AppLocker イベント ログに追加されます。

AppLocker は、Windows Server 2008 R2 のすべてのエディションと Windows 7 の一部のエディションで使用できます。