AppLocker は、ソフトウェアの制限のポリシー機能の後継として、Windows 7 および Windows Server 2008 R2 で導入された新機能です。AppLocker が備えている新機能と拡張機能を利用することにより、管理上の負担が軽減し、ファイル (実行可能ファイル、スクリプト、Windows インストーラー ファイル、DLL など) に対するユーザーのアクセスや使用を管理者が制御できるようになります。AppLocker を使用すると、次のことができます。

  • デジタル署名から取得したファイルの属性 (発行元、製品名、ファイル名、ファイル バージョンなど) を基に、規則を定義する。たとえば、発行元属性を基に、更新が行われても効力を失わない規則を作成することも、特定のバージョンのファイル用の規則を作成することもできます。

  • 規則をセキュリティ グループまたは個々のユーザーに割り当てる。

  • 規則の例外を作成する。たとえば、レジストリ エディター (Regedit.exe) を除いて、すべての Windows プロセスの実行を許可する規則を作成できます。

  • 監査のみモードを使用して、ポリシーを実施する前に、ポリシーを展開してその影響を把握する。

  • 規則をインポートおよびエクスポートする。インポートまたはエクスポートでは、ポリシー全体が処理されます。たとえば、ポリシーをエクスポートすると、規則のコレクションの実施設定も含め、すべての規則のコレクションのすべての規則がエクスポートされます。ポリシーをインポートすると、既存のポリシーが上書きされます。

  • AppLocker PowerShell コマンドレットを使用して、AppLocker の規則の作成と管理を簡素化する。

AppLocker の規則の詳細については、「AppLocker の規則とは」を参照してください。

変更点

次の表では、AppLocker とソフトウェアの制限のポリシーを比較しています。

機能 ソフトウェアの制限のポリシー AppLocker

規則の対象範囲

すべてのユーザー

特定のユーザーまたはグループ

提供される規則の条件

ファイル ハッシュ、パス、証明書、レジストリ パス、およびインターネット ゾーンの各規則

ファイル ハッシュ、パス、および発行元の各規則

提供される規則の種類

許可および拒否

許可および拒否

既定の規則の動作

許可または拒否

拒否

監査のみモード

サポートされていません。

サポートされています。

複数の規則を一度に作成するウィザード

サポートされていません。

サポートされています。

ポリシーのインポートまたはエクスポート

サポートされていません。

サポートされています。

規則のコレクション

サポートされていません。

サポートされています。

PowerShell のサポート

サポートされていません。

サポートされています。

カスタム エラー メッセージ

サポートされていません。

サポートされています。

AppLocker の要件

AppLocker は、Windows Server 2008 R2 のすべてのエディションと、Windows 7 Ultimate および Windows 7 Enterprise で使用できます。AppLocker を使用するには、次のものが必要です。

  • AppLocker の規則を作成するために、Windows Server 2008 R2、Windows 7 Ultimate、Windows 7 Enterprise、または Windows 7 Professional を実行するコンピューター。Windows 7 Professional を使用して規則を作成できますが、その場合、規則は Windows 7 Professional を実行するコンピューターでは実施できません。ドメイン コントローラーであるコンピューターも使用できます。

  • グループ ポリシーを展開する場合は、AppLocker 規則をホストするために、グループ ポリシー管理コンソール (GPMC) またはリモート サーバー管理ツール (RSAT) がインストールされているコンピューターが少なくとも 1 台必要です。

  • 作成した AppLocker の規則を実施するために、Windows Server 2008 R2、Windows 7 Ultimate、または Windows 7 Enterprise を実行するコンピューター。