連載
» 2018年04月24日 05時00分 公開

その知識、ホントに正しい? Windowsにまつわる都市伝説(108):使えるはずのポリシーが使えない――これはWindows 10のバグなのか、それとも仕様変更か? (1/2)

Windowsの企業向け機能を調べていると、使えるはずのポリシー設定が期待通りに動かなかったり、そのエディションで動くはずのないポリシー設定が使えちゃったりといった場面に遭遇することがあります。これまでも、仕様変更の場合もあれば、一時的なバグだったこともありました。最近、「ソフトウェアの制限のポリシー」でおかしな挙動を発見しました。これは果たしてどちらでしょうか。

[山市良,テクニカルライター]
「Windowsにまつわる都市伝説」のインデックス

ご存じですか? WindowsのSRPとAppLocker

 Windows(Homeエディションを除く)は、特定のアプリケーションの実行を制限するために、「ソフトウェアの制限のポリシー(Software Restriction Policy:SRP)」と「AppLocker」の2種類のポリシーを用意しています。

 ご存じの方も多いと思いますが、SRPはWindowsのエディションに関係なく利用できます。一方、AppLockerは“Enterpriseエディション限定”の機能です(Windows Vista/7のUltimate、Windows 10 Educationでも利用できます)。これらのポリシーは「ローカルセキュリティポリシー(Secpol.msc)」で構成する場合は、以下の場所にあります。名前がよく似ているのでややこしいですね。

  • セキュリティの設定\ソフトウェアの制限のポリシー
  • セキュリティの設定\アプリケーション制御ポリシー\AppLocker

 SRPは実行可能ファイルやDLLを許可/禁止できるのに対し、AppLockerは実行可能ファイル、Windowsインストーラー、スクリプト、ストアアプリ(Windows 8以降)、DLLを許可/禁止/監査することができます(画面1)。

画面1 画面1 上はWindows 7 ProfessionalのSRPでメモ帳(notepad.exe)を禁止したもの。下はWindows 10 EnterpriseのAppLockerで「ソリティア」アプリを禁止したもの

 とはいえ、最も大きな違いは「利用可能なエディションの制約」でしょう。特定のアプリや機能をユーザーに制限したいときに、Enterpriseエディションなら専用のポリシー設定があったり、AppLockerを利用できたり、柔軟に対応できたりする場合が多いのですが、Proエディションではそうはいきません。そこで、エディションが制限されないSRPを代替策として利用する、という使われ方がされてきたのではないでしょうか。

なぜ、Windows 10 バージョン17xxでSRPが動かないの?

 2017年末、当時担当していた翻訳業務に関連する動作確認のため、Windows 10 Pro バージョン1709でSRPを構成したところ、なぜか期待通りに動作しない場面に遭遇しました。別のPCでも試してみましたが、同様に動作しません。一方、Windows 10 Enterprise バージョン1709では、全く同じ設定で問題なく動作します(画面2画面3)。

画面2 画面2 Windows 10 Pro バージョン1709のSRPで「メモ帳」を禁止してみたが、ポリシーを更新しても(本来は更新しなくてもすぐに反映される)、再起動してもメモ帳がブロックされない
画面3 画面3 全く同じ設定のWindows 10 Enterprise バージョン1709では、期待通りにメモ帳がSRPでブロックされた

 なお、幾つかの画面(画面3〜5)に「サービス」ツールを表示しているのは、AppLockerのコンポーネント(Application Identityサービス)に疑いを持っていたからです(この疑いは外れだったようです)。

 もう少しさかのぼってみます。Windows 10 バージョン1703では、何とEnterpriseとProのどちらのエディションでも、SRPが期待通りに動作しませんでした(画面4)。また、SRPポリシーを設定、更新すると、AppLockerのコンポーネントである「Application Information(AppIdSvc)」サービスが自動的に開始するという挙動を見せました。

画面4 画面4 Windows 10 バージョン1703では、ProとEnterpriseの両方のエディションでSRPが期待通りに動作しない

 さらにさかのぼり、Windows 10 バージョン1607、Windows 10 バージョン1507(初期リリース)、Windows 8.1と試してみましたが、エディションに関係なくSRPは正常に動作しました(画面5)。

画面5 画面5 Windows 10 バージョン1607以前の場合は、本来の仕様通り、エディションに関係なくSRPは問題なく動作する
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。