
かつて山市良と呼ばれたおじさんのブログ
セイテクエンジニアのブログ かつて山市良と呼ばれたおじさんのブログ vol28. AppLockerのススメ(管理者に朗報!もうエンプラ限定じゃない)
2024年07月18日配信
2025年04月25日更新
執筆者:山内 和朗
Windows Server 2008 R2およびWindows 7 Enterprise(およびUltimate)で導入された、強化された企業向けソフトウェア制限機能「AppLocker」。WindowsクライアントではEnterpriseエディション限定の機能だと思っている人は多いかもしれません。しかし、少し前に状況が大きく変わりました。現在、サポートされているWindows 10およびWindows 11は、エディションに限定されることなく(ただし、Homeエディションは除く)、AppLockerのすべてがサポートされています。
AppLockerは、実行可能ファイル(.exe、.com、および.dll、.ocx)、Windowsインストーラー(.msi、.msp、.mst)、およびスクリプト(バッチ≪.bat、.cmd≫、PowerShellスクリプト(≪.ps1≫、WSHスクリプト≪.vbs、.js≫)の実行を、その発行元やパス、ファイルハッシュに基づいて、ユーザーやグループに実行を許可または禁止(拒否)することができる、グループポリシーまたはローカルコンピューターポリシーで展開できる、強力なソフトウェア制限機能です(画面1、画面2、画面3)。
画面1 AppLLockerの規則はグループポリシーまたはローカルコンピューターポリシーで定義する
画面2 AppLockerの規則を実施(強制)するか、監査モード(監査のみ)で運用を開始する。システムの安定運用のために、一定期間、監査モードで運用することを推奨
画面3 AppLockerの規則により実行可能ファイルの実行がブロックされたところ
Windows 8からは、パッケージアプリ(Microsoftストアアプリ、ユニバーサルWindowsプラットフォーム≪UWP≫アプリ)の許可/禁止にも対応しました。また、Windows 10以降は、AppLockerの機能がすべてのエディションでサポートされ、Windows 10のEnterprise以外を含むクライアントエディションの新しいセキュリティ機能「Windows Defender アプリケーション制御(Windows Defender Application Control《WDAC》)」(旧称、デバイスガード)にもその機能が部分的に使用されています。Windows 10以降のすべてのエディションのAppLockerは、モバイルデバイス管理(MDM)機能を利用して制御できます。しかしながら、グループポリシーやローカルコンピューターポリシーで展開できるのは、長らくEnterpriseエディション、およびServerエディションに限定されていました。以下のドキュメントをざっと読む限りでは、その通りだと思う人が多いはずです。
AppLocker を使用するための要件(Microsoft Learn)
しかし、Windows 10とWindows 11の「注意」に追加された、以下の注意書きに注目してください。
“ポリシーは、KB 5024351 でバージョン 2004 以降Windows 10すべてのエディションでサポートされています。”
私自身、つい最近、こちらの製品コラムで気付いたことなのですが、KB5024351では、グループポリシーを使用したAppLockerの展開のエディション要件が、Windows 10バージョン2004以降で今から1年以上前に削除されていたのです。
KB5024351 - AppLocker の Windows エディション チェックの削除(Microsoft)
このサポート技術情報によると、Windows 10バージョン2004以降、およびWindows 11バージョン21H2以降では、2022年9月のCリリース(更新プログラムのプレビュー)または10月のCリリースにおいて、エディション限定の解除措置が行われています。具体的なOSビルドを以下に示します。これらのOSより後にリリースされた、Windows 11バージョン23H2は、最初からエディションの限定なく、AppLockerがサポートされています。
Windows 10 Proバージョン21H2(2023年6月にサポート期間が終了しています)の古いOSビルドの環境を用意して検証してみました。(インストール直後の古いOSビルドでは)AppLockerのポリシー設定をサポートしていないProエディションでは、AppLockerの規則やサービス(AppLockerの前提であるAppIdSvc)を構成しても、AppLockerによる許可や拒否は全く機能しません。イベントログ(Microsoft-Windows-AppLocker/EXE and DLL)にはイベントID「8008」が記録され、このエディションでは利用できないことが示されています(画面4)。
画面4 Windows 10 Proエディション(バージョン21H2の古いOSビルド)では、AppLockerのポリシー設定は機能しない
同じWindows 10 ProマシンをWindows Updateで更新し、最新のビルド(Proバージョン21H2は既にサポートが終了しており、最後のビルドは2023年6月リリースの19033.3086です)にアップデートすると、従来のEnterpriseエディションと同様に、AppLockerの規則が機能するようになり、許可されていない実行可能ファイルがブロックされるようになりました(画面5)。
画面5 AppLockerのエディションチェックが削除されたOSビルド(KB5024351を参照)以降に更新すると、以前はEnterpriseエディション限定だったAppLockerが機能するようになった
AppLockerは、従来の「ソフトウェアの制限のポリシー(Software Restriction Policies≪SRP≫)を置き換える、強化されたソフトウェア制限機能として登場しました。しかしながら、Enterpriseエディション限定という制限が、SRPを置き換える上で大きな(コスト的な)壁となり、SRPを利用していた企業の中には、AppLockerへの移行をあきらめたところもあるでしょう。
SRPは、その後も、Windows 10バージョン1607およびWindows Server 2016までは、従来と同様に機能していましたが、Windows 10の以降のバージョンおよびWindows Server 2019以降では、期待通りに動作しなくなってしまいました。その後、Windows 10およびWindows Server 2019以降では、SRPは非推奨の機能という扱いになりました(→Microsoft Learn)。
Windows 10およびWindows 11の現在のバージョンでは、AppLockerが完全にサポートされるようになりました。そのため、過去にSRPからAppLockerへの移行をあきらめてしまった企業は、今一度、AppLockerを検討し直してみてはいかがでしょうか。