AppLocker は、ソフトウェアの制限のポリシー機能の後継として、Windows 7 および Windows Server 2008 R2 で導入された新機能です。AppLocker が備えている新機能と拡張機能を利用することにより、管理上の負担が軽減し、ファイル (実行可能ファイル、スクリプト、Windows インストーラー ファイル、DLL など) に対するユーザーのアクセスや使用を管理者が制御できるようになります。AppLocker を使用すると、次のことができます。
- デジタル署名から取得したファイルの属性 (発行元、製品名、ファイル名、ファイル バージョンなど) を基に、規則を定義する。たとえば、発行元属性を基に、更新が行われても効力を失わない規則を作成することも、特定のバージョンのファイル用の規則を作成することもできます。
- 規則をセキュリティ グループまたは個々のユーザーに割り当てる。
- 規則の例外を作成する。たとえば、レジストリ エディター (Regedit.exe) を除いて、すべての Windows プロセスの実行を許可する規則を作成できます。
- 監査のみモードを使用して、ポリシーを実施する前に、ポリシーを展開してその影響を把握する。
- 規則をインポートおよびエクスポートする。インポートまたはエクスポートでは、ポリシー全体が処理されます。たとえば、ポリシーをエクスポートすると、規則のコレクションの実施設定も含め、すべての規則のコレクションのすべての規則がエクスポートされます。ポリシーをインポートすると、既存のポリシーが上書きされます。
- AppLocker PowerShell コマンドレットを使用して、AppLocker の規則の作成と管理を簡素化する。
AppLocker の規則の詳細については、「AppLocker の規則とは」を参照してください。
変更点
次の表では、AppLocker とソフトウェアの制限のポリシーを比較しています。
機能 | ソフトウェアの制限のポリシー | AppLocker |
---|---|---|
規則の対象範囲 | すべてのユーザー | 特定のユーザーまたはグループ |
提供される規則の条件 |
ファイル ハッシュ、パス、証明書、レジストリ パス、およびインターネット ゾーンの各規則 |
ファイル ハッシュ、パス、および発行元の各規則 |
提供される規則の種類 | 許可および拒否 | 許可および拒否 |
既定の規則の動作 | 許可または拒否 | 拒否 |
監査のみモード |
サポートされていません。 |
サポートされています。 |
複数の規則を一度に作成するウィザード |
サポートされていません。 |
サポートされています。 |
ポリシーのインポートまたはエクスポート |
サポートされていません。 |
サポートされています。 |
規則のコレクション |
サポートされていません。 |
サポートされています。 |
PowerShell のサポート | サポートされていません。 | サポートされています。 |
カスタム エラー メッセージ | サポートされていません。 | サポートされています。 |
AppLocker の要件
AppLocker は、Windows Server 2008 R2 のすべてのエディションと、Windows 7 Ultimate および Windows 7 Enterprise で使用できます。AppLocker を使用するには、次のものが必要です。
- AppLocker の規則を作成するために、Windows Server 2008 R2、Windows 7 Ultimate、Windows 7 Enterprise、または Windows 7 Professional を実行するコンピューター。Windows 7 Professional を使用して規則を作成できますが、その場合、規則は Windows 7 Professional を実行するコンピューターでは実施できません。ドメイン コントローラーであるコンピューターも使用できます。
- グループ ポリシーを展開する場合は、AppLocker 規則をホストするために、グループ ポリシー管理コンソール (GPMC) またはリモート サーバー管理ツール (RSAT) がインストールされているコンピューターが少なくとも 1 台必要です。
- 作成した AppLocker の規則を実施するために、Windows Server 2008 R2、Windows 7 Ultimate、または Windows 7 Enterprise を実行するコンピューター。