AppLocker 規則コレクション拡張機能

この記事では、Windows 10 以降で追加されるルール コレクション拡張機能について説明します。 ルール コレクション拡張機能は、EXE および DLL ルール コレクションでのみ使用できるオプションの機能です。 次の XML フラグメントに示すように、AppLocker ポリシー XML を直接編集して、規則コレクション拡張機能を構成します。

<RuleCollectionExtensions>
    <ThresholdExtensions>
        <Services EnforcementMode="Enabled"/>
    </ThresholdExtensions>
    <RedstoneExtensions>
        <SystemApps Allow="Enabled"/>
    </RedstoneExtensions>
</RuleCollectionExtensions>

重要

AppLocker ポリシーに規則コレクション拡張機能を追加する場合は、 ThresholdExtensionsRedstoneExtensions の両方を含める必要があります。または、ポリシーによって予期しない動作が発生します。

サービスの適用

既定では、AppLocker ポリシーはユーザーのコンテキストで実行されているコードにのみ適用されます。 Windows 10、Windows 11、および Windows Server 2016 以降では、SYSTEM として実行されているサービスを含む、非ユーザー プロセスに AppLocker ポリシーを適用できます。 Windows Defender アプリケーション コントロール (WDAC) のマネージド インストーラー 機能で AppLocker を使用する場合は、サービスの適用を有効にする必要があります。

AppLocker ポリシーを非ユーザー プロセスに適用するには、前の XML フラグメントに<ThresholdExtensions>示すように セクションで設定<Services EnforcementMode="Enabled"/>します。

システム アプリ

AppLocker を使用してユーザー以外のプロセスを制御する場合、ポリシーはすべての Windows システム コードを許可する必要があります。または、デバイスが予期せず動作する可能性があります。 Windows の一部であるすべてのシステム コードを自動的に許可するには、前の XML フラグメントに示すように セクションで <RedstoneExtensions> 設定<SystemApps Allow="Enabled"/>します。