Windows 11でAppLockerを段階的に構成する

最終更新: 01/07/2025
著者: アイザック
  • AppLockerを使用すると、アプリケーションの実行を微調整できます。 Windows 11.
  • 監査モードと事前テストは、偶発的なクラッシュを回避し、生産性を維持するための鍵となります。
  • グループ ポリシーおよびサードパーティ ツールとの統合により、集中化されたスケーラブルな管理が容易になります。

applocker

どのようにして考えたことがありますか 自分のコンピュータまたは会社のコンピュータを保護する 不要なアプリケーションのインストールと実行を防止 Windows 11? AppLockerは、多くの人が耳にしたことがある強力なツールの一つですが、その使いこなし方を知らない人も多いでしょう。システム上で実行されるものを完全に制御したいなら、ここでは分かりやすく、ステップバイステップでその方法を解説します。 トリック 何も見逃さないように、おすすめも表示します。

この実践ガイドでは、 AppLocker を最初から堅牢な実装まで構成する 家庭環境とビジネス環境の両方で役立ちます。さらに、ポリシーを適切に作成、テスト、展開する方法も学びます。これにより、混乱に巻き込まれたり、重要なアプリケーションが誤ってクラッシュしたりするといった問題に遭遇することを防ぎます。

AppLocker とは何ですか? Windows 11 では何に使用されますか?

AppLockerは、 アプリケーション制御 Windowsのプロフェッショナル版とビジネス版で利用可能です。その目的は明確です。あらゆる詳細を考慮した上で意思決定を行えるようにすることです。 実行可能ファイル、スクリプト、インストーラ、その他のソフトウェアコンポーネントの実行が許可されている コンピュータ上で。この機能は、ソフトウェアのセキュリティと標準化を優先する組織で特に役立ちますが、環境を保護したい個人ユーザーにも役立ちます。

AppLockerを使用すると、ユーザーやコンピュータの異なるグループごとに特定のルールを作成することができます。 アプリケーションの発行元、名前、パス、ハッシュなどの属性に基づいて ファイルの。これにより、特定のアプリケーション、ファイルの種類、またはバージョンの実行を許可または拒否するポリシーを、一元的かつ自動化された方法で確立できます。

Windows 11 で AppLocker を使用する理由は何ですか?

AppLockerを使用する主な理由は セキュリティレベルを上げる あらゆるWindows環境で実行できます。実行可能なアプリケーションを制限することで、 マルウェア、無許可のソフトウェア、さらには安定性や規制遵守を損なう可能性のあるプログラムをインストールするユーザーも含まれます。

AppLocker には次のような利点があります。

  • 総合的な柔軟性: 非常に正確なルールを定義できます。
  • 簡単な統合 企業環境でのグループ ポリシーを使用します。
  • 監査モード ユーザーに影響を与えずにテストするため。
  • 自動化と管理 コンソールからまたは PowerShellの.

始める前の前提条件と考慮事項

AppLocker の設定を始める前に、問題を回避して効率的に作業するために留意すべき点がいくつかあります。

  • 互換性のあるWindowsエディションAppLockerはWindows 11 Pro、Enterprise、Educationでご利用いただけます。Homeエディションをご利用の場合は、残念ながらネイティブでご利用いただけません。
  • 管理者権限: ポリシーの作成と適用の両方に管理者権限が必要です。
  • ファイルの種類とルールを理解する: AppLocker を使用すると、実行可能ファイル (EXE)、インストーラー (MSI)、スクリプト (BAT、PS1 など)、ライブラリ (DLL)、ストア アプリケーション (APPX) を制御できます。
  • 実施計画を策定する: 企業にとって非常に関連性が高く、何を達成したいのか、それをどのように実現するのかを文書化することをお勧めします。
  • 監査モードの使用: 本番環境に移行する前に、ルールがブロックすべきでないものをブロックしていないことを確認することが重要です。
  • アイデンティティアプリケーションサービス (appidsvc): 有効にして、自動的に起動するように設定する必要があります。
  Windows 11の問題を診断するための必須コマンド

はじめに: AppLocker ポリシーの計画と設計

applocker

Windows 11 での AppLocker の設定が問題なく成功するように、論理的な手順に従うことをお勧めします。

  • 目標を定義する: ライセンスのないソフトウェアのみを制限しますか?重要なアプリケーションを保護しますか?ユーザーがインストールできないようにしますか? apps 非法人ですか?
  • アプリケーションのインベントリを作成する: 各ユーザー グループまたは部門で使用されるソフトウェアを識別します。
  • 必要なルールの種類を決める: 発行者、パス、ハッシュ、製品名など。各オプションには、使用例に応じて利点があります。
  • ポリシーをグループ別に整理する: Active Directory 構造または Windows セキュリティ グループを活用して、ポリシーを細かく適用します。

Truco企業では、承認されたソフトウェアに更新や変更が加えられたときに予期しない障害が発生しないように、ポリシーを適切に文書化し、最新の状態に保ってください。

ポリシーの作成: コレクションとルールの種類

AppLockerはルールをグループ化して管理します。 コレクション ファイルの種類に応じて異なります。各コレクションには、独自のコンプライアンスモード(監査または強制)を設定できます。利用可能なコレクションは以下のとおりです。

  • 実行可能ファイル(EXE)
  • インストーラー(MSI および MSP)
  • スクリプト(例:BAT、 CMD、JS、PS1)
  • DLLライブラリ
  • Microsoft ストア アプリ (APPX)

各コレクション内のルールは次のように定義できます。

  • 編集者(デジタル署名): 特定の会社によって署名されたすべてのソフトウェアを許可またはブロックするのに非常に便利です。
  • ファイルパス: あなたの位置情報に基づいてアプリケーションを許可または拒否します。
  • ファイルハッシュ: 固有のフィンガープリントによってアプリケーションを識別します。

AppLockerポリシーを作成および構成するための詳細な手順

1. 管理ツールにアクセスする

個々のデバイスでは、 secpol.mscと (ローカルセキュリティポリシー)。企業環境では、 グループ ポリシー管理コンソール (GPMC)ここから、単一のコンピューターとドメイン全体の両方の AppLocker ポリシーを作成、編集、インポートできます。

2. ポリシーの作成とルールの生成

通常のプロセスは次のとおりです。

  1. 対応するツール (secpol.msc または GPMC) を開きます。
  2. に移動します セキュリティ設定 -> アプリケーション制御 -> AppLocker.
  3. 構成するルール コレクションを選択します。
  4. ルールは手動で作成するか、 ルール生成ウィザードこれにより、システムにすでに存在するファイルに基づいてルールの作成を自動化できるようになります。

ルールを作成する際は、すべてのユーザー、特定のグループ、または個々のユーザーに適用するかどうかを選択します。ルールには例外も設定できるため、さらに柔軟性が高まります。

3. コンプライアンスモード: 強制または監査

各コレクションごとに、次のモードを選択できます。

  • ルールを適用する: ポリシーはアクティブであり、定義どおりにブロック/許可されます。
  • 監査のみ: ルールは何もブロックしませんが、イベントは後で分析できるように記録されます。
  • 構成されていません: コレクションは AppLocker によって管理されません。

評議会: 常に監査モードで起動します。これにより、生産性に影響を与えることなく、潜在的な不要なブロックを特定できます。

4. ポリシーのインポートとエクスポート

AppLocker では、ポリシーを XML ファイルにエクスポートして、バックアップ、転送、または他のコンピューターへの展開を行うことができます。これにより、隔離された環境でポリシーを開発・テストし、その後、本番環境にシームレスに移行することができます。

Windows Defender アプリケーション コントロール (WDAC)
関連記事:
Windows Defender アプリケーション制御 (WDAC) ポリシーの作成と管理方法: 究極ガイド

AppLocker ルールのテストと検証

1.監査モードをオンにする

アプリのブロックを有効にする前に、ポリシーが期待どおりに機能していることを確認してください。監査モードでは、 すべてのイベントを記録する 実際には何もブロックせずにクラッシュを引き起こします。

  Windowsで破損したオーディオファイルを修復する方法

2. アプリケーションIDサービスを有効にして構成する

サービスがなければ アプリID AppLocker は適用されません。Windows サービスに移動し、対象のすべてのコンピューターで自動設定され、実行されていることを確認してください。

3. 分析ツールを使用する

イベントビューアでAppLockerのログを手動で確認するか、 PowerShell コマンドレット として:

  • Get-AppLockerFileInformation: AppLocker イベントに関連するファイルの詳細を取得します。
  • テスト-AppLockerPolicy: ポリシーが特定のファイルに影響するかどうかを確認します。

正当なアプリケーションがブロックされることがわかった場合は、ポリシーが実際に有効になる前にルールを調整する機会があります。

4. 反復的な修正と再テスト

初期テストでは、必要なアプリケーションがブロックされているように見えることがよくあります。ルールを調整し、テストを繰り返し、すべてが期待どおりに動作するまでアプリケーションモードに切り替えないでください。

指令の展開と実施

設定が完了し検証が完了したら、本番環境にデプロイします。デプロイには2つの方法があります。

  • 地元で: 各コンピュータごとにローカル セキュリティ ポリシーを使用します。
  • GPO経由- 数十台、数百台のコンピューターを管理する必要があるエンタープライズ環境に最適です。GPOを必要な組織単位にリンクするだけで、ポリシーが自動的に適用されます。

以降のポリシー変更はエクスポート/インポートできるため、コンピュータ間での一貫性を維持できます。バージョン管理を維持したい場合は、Advanced Group Policy Managementなどのツールをご利用ください。

AppLocker の監視、監査、メンテナンス

ポリシーを導入したら、忘れてはいけません。定期的な監視は、以下の点で重要です。

  • ログを監視する 実行試行をブロックするための AppLocker。
  • 技術サポートリクエストを確認する正当なユーザーが必要なアプリケーションを実行できない場合に発生します。
  • 更新ポリシー ソフトウェア カタログや企業のニーズの変化に応じて。

Windowsイベントビューアと ログ 特派員はあなたの味方です。AppLockerイベントでフィルタリングし、ブロックパターンを分析できます。さらに、イベントサブスクリプションやPowerShellスクリプトを使用すれば、複数のコンピューターのキャプチャと分析を一元化できます。

特定のアプリをブロックおよび許可する方法: XML と Google Workspace を使用した高度な例

Windowsがサードパーティのソリューションから管理されている環境でもAppLockerを管理できます。 グーグル ワークスペース。これらの場合、アプリケーションの制限が実行されます カスタムXMLファイルのアップロード PowerShell またはグラフィカル グループ ポリシー エディターから生成されます。

大まかに言えば、このプロセスは次のようになります。

  1. ファイルタイプ(EXE、MSI、 スクリプト、DLL、APPX)。
  2. タイプ、ポリシー名、適用するユーザーまたはグループの SID、アクション (許可/ブロック)、発行元、ファイル名、バージョンなどの XML 属性を定義します。
  3. 管理コンソール (Google など) から構成をアップロードし、ブロックまたは許可するファイルの種類に応じて適切な OMA-URI を選択します。
  4. カスタム設定を目的の組織単位またはデバイス グループに割り当てます。
  Windowsでmountvolとsubstを使って仮想ドライブをマウントする:完全ガイドと実例

重要なのは、ユーザーとグループのSIDを適切に管理し、ポリシーが適切な対象にのみ適用されるようにすることです。特定のフィールドでワイルドカードを使用することで、アプリケーションごとにルールを記述することなく、より多くのアプリケーションをカバーできることを覚えておいてください。

署名されたアプリのみを許可したり、特定のアプリをブロックしたりする場合は、信頼できる実行可能ファイルを承認するルールと、使用すべきではないことがわかっている実行可能ファイル (アプリの古いバージョンやライセンスが切れたプログラムなど) を具体的にブロックするルールを組み合わせることで、XML フレームワークでこれが可能になります。

安全に関する考慮事項と優れた実践

  • AppLocker を使用すると保護機能は大幅に強化されますが、万能ではありません。ウイルス対策、ログ監視、定期的なアップデートなど、他の対策と併用することをお勧めします。
  • 不適切な設定は重要なアプリケーションをブロックする可能性があるため、 監査モード 実稼働環境に導入する前に、広範囲にわたるテストを実行します。
  • アップデートに関する問題を回避するには、発行元ベースのルールでバージョンとデジタル署名のオプションを活用しましょう。これにより、許可されたソフトウェアのパッチや新リリースがリリースされるたびにポリシーを更新する必要がなくなります。
  • 将来のメンテナンスや内部監査のために、プロセス全体、変更、例外を文書化します。

Windows 11 の AppLocker に関するよくある質問

  • AppLocker は無料ですか? はい、Windows の Professional エディションと Business エディションには追加料金なしで含まれています。
  • Windows 11 Homeでも使えますか? いいえ、Home バージョンにはありません。
  • 重要なプログラムを誤ってブロックするとどうなりますか? テスト中は監査モードを使用し、ブロックイベントを監視してください。本番環境で同様の問題が発生した場合は、影響を受けるアプリケーションのブロックを解除するために、できるだけ早くルールを変更してください。
  • いくつの種類のルールを組み合わせることができますか? エディター、パス、ハッシュによる条件を組み合わせて、必要な数だけ使用できます。
  • 高度なマルウェアを回避できますか? リスクは大幅に軽減されますが、マルウェア対策やユーザー教育などの他のレイヤーを置き換えるものではありません。

Windows 11でAppLockerを管理するのは、最初は難しそうに思えるかもしれませんが、適切に設定すれば、脅威やソフトウェアのインストールの中断から守る真の盾となります。これらの手順とヒントに従うことで、 Windows 11でAppLockerを段階的に構成する 効果的です。使用するアプリケーションカタログの進化に合わせて、定期的にルールを見直し、更新することを忘れないでください。また、予期せぬ事態を避けるために、常に監査モードと事前テストを活用してください。