AppLockerは、ローカルセキュリティポリシーに組み込まれた便利なWindowsセキュリティ機能で、管理者はルールに基づいて特定のアプリをブロックまたは許可できます。マシン上で実行されるものをより厳密に制御したい場合、これは必須と言えるでしょう。企業向けのペアレンタルコントロールのようなものと考えてください。しかし、これらのポリシーの管理は、特に複数のPC間で設定を複製したり、変更を加える前にルールをバックアップしたりする場合、少し技術的になることがあります。毎回ルールを一から作り直す手間を省くには、AppLockerポリシーをエクスポートしてインポートするのが最善策です。さらに、不審なアプリケーションのブロックをトラブルシューティングしたり、設定ミス後にデフォルト設定を復元したりするのに便利です。
このガイドでは、AppLockerポリシーを簡単にエクスポートおよびインポートする方法をご紹介します。これにより、別のシステムにルールのバックアップやクローンを保存できます。また、設定が複雑になったり、動作が不安定になったりした場合に、デフォルトに戻す方法についても説明します。Windowsは、必要以上に設定を複雑にしてしまうことがあるためです。
Windows 11でAppLockerポリシーをエクスポートおよびインポートする方法
AppLockerポリシーをXMLにエクスポート – クイックバックアップ
ポリシーをエクスポートするとXMLファイルとして保存されます。これは、設定されているルールを確認したり、何か問題が発生したときにすぐにロールバックしたりするのに非常に便利です。設定によっては、初めてこの操作を行う際に多少の不具合が発生する場合がありますが、一度エクスポートしてしまえば、あとは安心です。これを行う主な目的は、現在のルールのクリーンなコピーを保存したり、複数のPCで共有したりすることです。必要なのは、ローカルセキュリティポリシーエディターへのアクセスと、少しの忍耐力だけです。
- secpol.mscを開いてWin + R入力します。
- 「アプリケーション制御ポリシー」>「AppLocker」に移動します。 「AppLocker」を右クリックし、「ポリシーのエクスポート」を選択します。
- XMLファイルの保存場所を選択します。「ファイルの種類」を「XMLファイル」に設定し、わかりやすい名前を付けて「保存」をクリックします。ネットワーク共有やバックアップフォルダなど、安全な場所に保存してください。
- 「OK」をクリックして確認メッセージをお待ちください。時々、メッセージがすぐに表示されないことがありますが、しばらくお待ちください。エラーが発生した場合は、権限を再確認するか、ツールを管理者として実行してみてください。
基本的に、これはすべてのAppLockerルールの信頼性の高いバックアップを提供します。一部のマシンではエクスポートが一度失敗する場合がありますが、再起動するか管理者として実行すると、通常は正常に動作します。重要なのは、管理者権限があり、競合するグループポリシーが操作をブロックしていないことを確認することです。
AppLockerポリシーのインポート – ルールの復元または複製
以前エクスポートしたポリシーを読み込みたい場合は、インポートが最適です。新しいマシンにルールを展開する場合や、変更を元に戻したい場合に非常に便利です。繰り返しますが、このプロセスは完璧ではありません。管理者権限で実行していることを確認しれば、スムーズに動作するはずです。
- 前と同じようにsecpol.mscを起動します。
- 「アプリケーション制御ポリシー」 > 「AppLocker」に移動します。 「AppLocker」を右クリックし、「ポリシーのインポート」を選択します。
- 先ほどエクスポートした XML ファイルを見つけて選択し、「開く」をクリックします。
- 確認のプロンプトが表示されるので、「はい」をクリックしてインポートを確認します。
- インポートしたら、ルールを有効にするためにコンピューターを再起動するか、グループ ポリシーを更新する必要がある場合があります。変更をすぐに適用するには、コマンド プロンプトからgpupdate /forceを実行する必要がある場合もあります。
その後、特に異常がなければ、アプリの制限は元通りになっているはずです。もちろん、設定によっては、インポートしたルールがドメインGPOによって上書きされる場合もあるので、何かおかしいと感じた場合はその点にご注意ください。
AppLockerルールをデフォルトにリセットして、一からやり直す
ルールが複雑になりすぎたり、白紙の状態に戻したい時もあります。そこで、Windows のデフォルト設定に全てをリセットする方法をご紹介します。なぜそうなるのかは分かりませんが、デフォルト設定にリセットすることで、ロックダウンの問題や奇妙なブロックがすべて解消される場合もあります。
- secpol.mscを開きます。
- アプリケーション制御ポリシー > AppLockerに進みます。
- AppLockerを右クリックし、[ポリシーのクリア]を選択します。
- プロンプトが表示されたら確認し、「OK」をクリックします。
- 変更を適用するには、再起動するか、コマンド プロンプトで管理者権限でgpupdate /forceを実行する必要がある場合があります。
これにより、すべてのルールがリセットされ、白紙の状態になります。設定ミスがあった場合やトラブルシューティングを行っている場合は、この方法で整理できることがよくあります。
現在の AppLocker ポリシーをエクスポートするにはどうすればよいですか?
ローカルセキュリティポリシーから行うだけでなく、より柔軟なアプローチが必要な場合はPowerShellを使用することもできます。環境によっては、PowerShellを使用するとより多くの情報が得られたり、バックアップを簡単に自動化できたりします。
- PowerShell を管理者として開きます。
- 次のコマンドを実行します。
Get-AppLockerPolicy -Effective -Xml | Out-File -FilePath C:\Path\To\Your\Backup.xml - これにより、現在有効なポリシーが指定した場所にエクスポートされます。このファイルは、後でグループポリシーに読み込むか、ローカルセキュリティポリシーツールを使用してインポートできます。
正直、手順は少し増えますが、複数のマシンにポリシーを展開したり、スクリプトでバックアップを実行したりする場合には便利です。Windowsがなぜこんなに複雑にしているのかは分かりませんが、少なくともPowerShellは選択肢の一つです。
AppLocker ポリシーはどこに保存されますか?
単一のスタンドアロンシステムを使用している場合、AppLocker ルールはローカルセキュリティポリシーエディターの「アプリケーション制御ポリシー」>「AppLocker」にあります。ただし、ドメイン環境の場合は通常、グループポリシー管理コンソールのグループポリシーで管理されます。これは全く異なる状況で、ルールは Active Directory からプッシュされ、ローカル設定が無視または上書きされる可能性があります。実際に有効なルールを確認するには、 PowerShell でGet-AppLockerPolicyを実行します。これにより、ローカルポリシーとドメインポリシーのどちらが優先されているかが表示されます。こうすることで、ルールが期待どおりでなくても混乱することはありません。
いずれの場合も、ポリシーをいじると、間違った方法で操作するとシステムに影響が出る可能性があることを常に念頭に置いてください。バックアップ、テスト、そしてデプロイは、できればメンテナンス期間中、あるいは誰も慌ててお気に入りのアプリを開こうとしていない時間帯に行うのが理想的です。