ほとんどのユーザーは、Windows Defender (Windows セキュリティに組み込まれているウイルス対策ツール) をよく知っています。Windows Defender は、システムで疑わしいソフトウェア アクティビティがないか継続的に監視し、ウイルス定義のデータベースに基づいて危険な侵入者を識別してブロックします。
しかし、ギリシャの戦士がトロイの木馬を仕掛けたように、PC へのアクセスを許可するプログラムをユーザーがインストールするのを阻止できるウイルス対策ソフトウェアはありません。
これを防ぐには、コンピューターの基本設定をホワイトリストに登録することをお勧めします。ホワイトリストとは、管理者として許可するすべてのプログラムのリストを作成することを意味します。
さらに読む:最高のウイルス対策ソフトウェア
後から追加されたすべてのアプリケーションは、Windows によって自動的にブロックされ、実行できなくなります (もちろん、ホワイトリストにも追加しない限り)。
こうすることで、家族、学校のクラス、従業員がウイルスに感染したプログラムを密かに PC にダウンロードすることを防ぐことができます。
同時に、ホワイトリストは、ウイルス定義リストに含まれていない、これまで未知のマルウェアに対する追加の保護も提供します。
プログラムのホワイトリスト
ローカル セキュリティ ポリシー ツールは Windows Pro と Home の両方に含まれています。ただし、Home 版では、まずコマンドプロンプト経由で統合する必要があります。
マイクロソフト
ホワイトリストを構成するには、Windows 搭載ツールのローカル セキュリティ ポリシーが必要です。
Windows 10および11のPro版とEnterprise版に含まれています。ローカルセキュリティポリシーはWindows 10および11 Homeにも含まれていますが、事前にシステムに統合する必要があります。
これを行う方法については、記事の最後にある「Windows Home でローカル セキュリティ ポリシーを有効にする」ボックスで読むことができます。
ローカル セキュリティ ポリシーを使用して、Windows 10 1809 以降のすべての Windows バージョンに含まれている Windows Applocker 機能を構成できます。
AppLockerはポリシーと呼ばれるルールに基づいて動作するため、Windowsファイアウォールに似ています。この機能を使用して、ホワイトリストとブラックリストの両方を作成できます。
ブラックリストでは、すべてのアプリケーションの実行が許可され、明示的に名前が付けられた少数のプログラムのみがブロックされます。しかし、毎日何千もの新しいマルウェアプログラムが新しい名前とファイルで出現しているため、既存の承認済みプログラムのみをホワイトリストに設定し、それ以外のすべてをブロックする方が現実的です。
ローカル セキュリティ ポリシー ツールを使用して、Windows 10 1809 以降のオペレーティング システムで使用できる Applocker アプリケーション制御を構成します。
鋳造所
Applockerのホワイトリストを設定する
タスクバーの検索ボックスに「secpol」と入力し、同じ名前の検索結果をクリックして「ローカルセキュリティポリシー」を開きます。次に、「アプリケーション制御ポリシー」 > 「AppLocker」に進みます。そこには4つのサブフォルダがあります。「実行可能ファイルルール」フォルダは興味深いもので、拡張子がEXEとCOMのファイルを処理します。
ルールはプログラムごとに個別に調整できますが、これは時間がかかり、複雑です。そこでMicrosoftは、ほとんどの用途に適した標準ルールをアプリケーションに割り当てるオプションを用意しました。
デフォルトのルールを割り当てるには、実行可能ルールを右クリックして「デフォルトのルールの作成」を選択し、次に実行可能ルールをもう一度右クリックして「ルールを自動的に生成」を選択します。
鋳造所
ウィザードが起動し、最初のウィンドウではC:Program Filesフォルダが選択されています。「次へ」をクリックすると、「ルール設定」ウィンドウが表示されます。
ここで、「ファイルハッシュ」と「パス」のオプションを選択できます。これは、Applockerがプログラムを識別する方法(EXEファイルまたはCOMファイルのハッシュ値、またはインストールパス)を指定します。
Notepad.exe のようなファイル名は、多くのマルウェアプログラムがWindowsの一般的なツール名を偽装するために使用するため、アプリケーションを識別するのに適していません。デフォルト設定の「ファイルハッシュ」のままにして、「次へ」をクリックしてください。
ApplockerはC:\Program Files\Program Files配下のアプリケーション用のルールを作成します。「作成」をクリックして確定します。次に、C:\Program Files (x86)\Windows\Windowsフォルダに対しても同じ手順を繰り返します。
デフォルトのルールを定義したら、これらのルールを適用するフォルダを指定します。ルールウィザードでは、最初のフォルダとしてC:Program FilesまたはC:Program Filesが提案されます。
鋳造所
アプリケーションIDをアクティブ化する
Applocker が機能するには、Windows サービス アプリケーション ID がアクティブである必要があります。
タスクバーの検索フィールドに「サービス」と入力し、同じ名前のヒットをクリックします。リスト内の「アプリケーションID」エントリをダブルクリックし、「開始」ボタンを押します。
上記のフォルダー以外のプログラムを呼び出そうとすると、「このアプリはシステム管理者によってブロックされています」というエラー メッセージが表示されます。
設定が完了すると、Applocker はホワイトリストによって実行が許可されているアプリケーションの長いリストを表示します。
鋳造所
C:Program Files、C:Program Files (x86)、C:Windows フォルダにあるアプリケーションのみを呼び出すことができるようになりました。Applocker はこれらのプログラムをホワイトリストに追加しました。
ただし、標準ユーザーにはこれらのフォルダへの書き込み権限がないため、これらのフォルダにプログラムを追加することはできません。これは管理者権限を持つユーザーのみに許可されています。
この設定により、システムへのウイルス侵入から効果的に保護されます。さらに、管理者権限のないユーザーは独自のソフトウェアをインストールできなくなります。ただし、ドキュメント、画像ファイル、ビデオ、音楽などへのアクセスは影響を受けません。
この方法でWindowsをシールしても動作するかどうか試してみてください。C:Usersディレクトリ内、またはホワイトリストに含まれていないフォルダにインストールされたEXEファイルとCOMファイルはすべてブロックされるので注意してください。
問題が発生した場合は、Windowsを再起動するだけで解決します。Application Identityサービスのスタートアップの種類が「手動」に設定されているため、再起動後に無効になります。これにより、AppLockerも無効になります。
Applocker を永続的に有効にしたい場合は、サービスのプロパティを再度呼び出し、「スタートアップの種類」を「自動」に変更し、「OK」で確定します。その後、Windows の起動時にサービスが読み込まれ、Applocker が有効になります。
スタートアップの種類の変更が「アクセスが拒否されました」というメッセージで失敗した場合は、レジストリエディタRegedit.exeを呼び出して、フォルダに移動します。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAppIDSvc folder 「Start」キーに「2」を入力してください。変更は直ちに有効になり、サービスのプロパティから元に戻すことはできなくなります。手動スタートアップに戻すには、レジストリエディターを開き、上記のキーに「3」を入力してください。
誤って Windows システムをロックしてしまい、レジストリ エディターにアクセスできなくなった場合は、タスクバーの [スタート] ボタンを右クリックし、次のメニューで [ターミナル (管理者)] を開きます。
コマンドラインから「regedit」と入力してエディターを開くこともできます。その後、前述のように、スタートアップの種類を手動に設定し直し、Windowsを再起動してください。
Applocker を完全にオフにするには、ローカル グループ ポリシーで実行可能な規則を選択し、リストを右クリックして「削除」をクリックします。
Applockerの代替としてのCyberlock
Applockerには、この記事で紹介しきれないほど多くのオプションが用意されています。Cyberlockツールはさらに包括的な機能を備えています。
以前はVoodooshieldという名前でフリーウェアとして配布されていましたが、現在は新しい名前で30ドルのライセンスが必要です。このプログラムは15日間無料でお試しいただけます。
インストール後、Cyberlock は Windows インストールをスキャンし、見つかったアプリケーションのスナップショットを取得し、ホワイトリストを作成します。
アプリケーションをダウンロード、インストール、またはアンインストールしたり、署名されていないアプリケーションを起動したりするとすぐに、ソフトウェアによってタスクバーの隅に通知ウィンドウが表示されます。
そこで、「ブロック」、「サンドボックス」、「インストール」/「許可」の3つのオプションから1つを選択する必要があります。選択には20秒かかります。応答しない場合、Cyberlockはインストールプロセスをキャンセルします。
その他のホワイトリストツール
Applockerの前身は、Windows XP以降に搭載されていたソフトウェア制限ポリシー(SRP)でした。しかし、MicrosoftはWindows 11 22H2でこの機能を無効化しました。
Windows Smart App Control は、主にデジタル署名された標準アプリケーションを操作する場合にのみアクティブ化されます。
鋳造所
Windowsを初めて使用するユーザーが潜在的に危険なソフトウェアをインストールするのを防ぐには、別のホワイトリストツールが最適です。Windowsの設定で、 「アプリ」>「アプリの詳細設定」の「Microsoft Storeのみ(推奨)」オプションを選択できます。
Windowsユーザーは、ストアから検証済みのプログラムのみをインストールできるようになります。ただし、このブロックは、例えば新しいWindowsバージョンにプリインストールされているコマンドラインツール「winget」などを使えば簡単に回避できます。
「スマートアプリコントロール」は、「設定」の「プライバシーとセキュリティ」>「Windows セキュリティ」>「アプリとブラウザのコントロール」にも表示されます。この機能はWindowsのインストール後、最初は無効になっており、評価モードでPC上での作業を監視します。
Word、Excel、Acrobat、一般的なグラフィックアプリケーションなどの標準プログラムを主に使用していることが検出されると、数週間後にアクティブになり、デジタル署名があるか、クラウドベースの AI によるチェックに合格したソフトウェアのみのインストールが許可されます。
一方、あまり知られていないツールを頻繁に使用する場合は、スマートアプリコントロールは無効のままです。ユーザーとして、これに影響を与えることはできません。
キオスクモードでは、Windows は単一のアプリケーションのみを実行できます。このモードは、店頭、情報イベント、マーケティングイベントでのプレゼンテーションを目的としています。
鋳造所
一方、Windowsのキオスクモードでは、ホワイトリストの設定が可能です。設定から「アカウント」>「その他のユーザー」>「キオスク」からアクセスできます。
「始めましょう」をクリックするとウィザードが起動し、Windows の起動時に自動的に選択されてログインされる新しいユーザー アカウントを設定できます。
このアカウントは、自由に設定可能な単一のアプリケーションの実行にのみ使用できます。キオスクモードは、例えば、常に同じプレゼンテーションを店頭のショーウィンドウに表示したい店舗などを対象としています。
Windows Homeでローカルセキュリティポリシーを有効にする
ローカル セキュリティ ポリシー ツールは、Windows 10、11 Pro、および Enterprise バージョンの Windows に含まれています。Windows 10、11 Home にも含まれていますが、システムに統合されていません。
これを変更するには、コマンドプロンプトが必要です。スタートメニューの検索窓に「cmd」と入力し、右側のウィンドウで「管理者として実行」をクリックします。以下のコマンドを入力します。
FOR %F IN (″%SystemRoot%servicingPackagesMicrosoft-Windows-GroupPolicy-ClientTools-Package~*.mum″) DO (DISM /Online /NoRestart /Add-Package:″%F″)
Enterキーを押します。処理が完了したら、コマンドを続行します。
FOR %F IN (″%SystemRoot%servicingPackagesMicrosoft-Windows-GroupPolicy-ClientExtensions-Package~*.mum″) DO (DISM /Online /NoRestart /Add- Package:″%F″)
その後、[スタート] メニューからローカル セキュリティ ポリシーを検索して呼び出すことができます。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
