Windows Defender アプリケーションコントロールと AppLocker の概要

[アーティクル]
01/03/2024
適用対象:

✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注

Windows Defender Application Control (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 WDAC 機能の可用性について詳しくは、こちらをご覧ください。

Windows 10 と Windows 11 には、組織の特定のシナリオと要件に応じて、アプリケーション制御に使用できる 2 つのテクノロジ (Windows Defender アプリケーション制御 (WDAC) と AppLocker) が含まれています。

Windows Defender アプリケーション制御

WDAC は Windows 10 で導入され、組織は Windows クライアントで実行できるドライバーとアプリケーションを制御できます。これは、Microsoft Security Response Center (MSRC) によって定義されたサービス条件の下でセキュリティ機能として設計されました。

WDAC ポリシーはマネージドコンピューター全体に適用され、デバイスのすべてのユーザーに影響します。 WDAC ルールは、次に基づいて定義できます。

アプリとそのバイナリの署名に使用されるコード署名証明書の属性
ファイルの署名済みメタデータ (元のファイル名とバージョン、ファイルのハッシュなど) から取得されるアプリのバイナリの属性
Microsoft のインテリジェントセキュリティグラフによって決定されるアプリの評判
アプリとそのバイナリのインストールを開始したプロセスの ID (マネージドインストーラー)
アプリまたはファイルの起動元のパス (Windows 10 バージョン 1903 以降)
アプリまたはバイナリを起動したプロセス

注

WDAC はもともと Device Guard の一部としてリリースされ、構成可能なコード整合性と呼ばれています。 Device Guard と構成可能なコード整合性は、グループポリシーを使用して WDAC ポリシーを展開する場所を見つける以外は使用されなくなりました。

WDAC システム要件

WDAC ポリシーは、Windows 10 または Windows 11 の任意のクライアントエディション、または Windows Server 2016 以降で作成および適用できます。 WDAC ポリシーは、モバイルデバイス管理 (MDM) ソリューション (Intune など) を使用して展開できます。Configuration Manager などの管理インターフェイス。または PowerShell などのスクリプトホスト。グループポリシーを使用して WDAC ポリシーを展開することもできますが、Windows Server 2016 および 2019 で動作する単一ポリシー形式のポリシーに制限されます。

特定の WDAC ビルドで使用できる個々の WDAC 機能の詳細については、「 WDAC 機能の可用性」を参照してください。

AppLocker

AppLocker は Windows 7 で導入され、組織は Windows クライアントで実行できるアプリケーションを制御できます。 AppLocker は、エンドユーザーがコンピューターで承認されていないソフトウェアを実行できないようにするのに役立ちますが、セキュリティ機能であるというサービス条件を満たしていません。

AppLocker ポリシーは、コンピューター上のすべてのユーザー、または個々のユーザーとグループに適用できます。 AppLocker ルールは、次に基づいて定義できます。

アプリとそのバイナリの署名に使用されるコード署名証明書の属性。
ファイルの署名済みメタデータ (元のファイル名とバージョン、ファイルのハッシュなど) から取得されるアプリのバイナリの属性。
アプリまたはファイルの起動元のパス。

AppLocker は、マネージドインストーラーやインテリジェントセキュリティグラフなど、WDAC の一部の機能でも使用されます。

AppLocker システム要件

AppLocker ポリシーは、サポートされているバージョンと Windows オペレーティングシステムのエディションで実行されているデバイスでのみ構成および適用できます。詳細については、「 AppLocker を使用するための要件」を参照してください。 AppLocker ポリシーは、グループポリシーまたは MDM を使用して展開できます。

WDAC または AppLocker を使用するタイミングを選択する

一般に、AppLocker ではなく WDAC を使用してアプリケーション制御を実装できるお客様は、これを行う必要があります。 WDAC は継続的な改善を行っており、Microsoft 管理プラットフォームからサポートが追加されています。 AppLocker は引き続きセキュリティ修正プログラムを受け取りますが、新機能の改善は得られません。

ただし、場合によっては、AppLocker が組織にとってより適切なテクノロジになる場合があります。 AppLocker は、次の場合に最適です。

Windows オペレーティングシステム (OS) 環境が混在しており、同じポリシーコントロールを Windows 10 以前のバージョンの OS に適用する必要があります。
共有コンピューター上のユーザーまたはグループごとに異なるポリシーを適用する必要があります。
DLL やドライバーなどのアプリケーションファイルに対してアプリケーション制御を適用する必要はありません。

AppLocker を WDAC の補完として展開して、一部のユーザーが特定のアプリを実行できないようにすることが重要な共有デバイスシナリオのユーザーまたはグループ固有のルールを追加することもできます。ベストプラクティスとして、組織に対して可能な限り最も制限の厳しいレベルで WDAC を適用し、AppLocker を使用して制限をさらに微調整する必要があります。

次の方法で共有