Поделиться через


Создание правила для упакованных приложений

В этой статье для ИТ-специалистов показано, как создать правило AppLocker для упакованных приложений с условием издателя.

Упакованные приложения основаны на модели приложений, которая гарантирует, что все файлы в пакете приложения используют одно удостоверение. Таким образом, можно управлять всем приложением с помощью одного правила AppLocker, в отличие от неупакованных приложений, где каждый файл в приложении может иметь уникальное удостоверение. Все упакованные приложения должны быть подписаны. AppLocker поддерживает только правила издателя для упакованных приложений. Правило издателя для упаковаемого приложения основано на следующих сведениях:

  • Издатель пакета
  • Имя пакета
  • Версия пакета

Все файлы в пакете и установщики пакетов используют эти атрибуты. Таким образом, правило AppLocker для упаковаемого приложения управляет установкой и запуском приложения. В противном случае правила издателя для упакованных приложений ведут себя так же, как и в других коллекциях правил.

Дополнительные сведения об условии издателя см. в разделе Общие сведения об условии правила издателя в AppLocker.

Для управления политикой AppLocker в объекте групповая политика можно выполнить эту задачу с помощью консоли управления групповая политика. Чтобы управлять политикой AppLocker для локального компьютера или для использования в шаблоне безопасности, используйте оснастку "Локальная политика безопасности". Сведения о том, как использовать эти оснастки MMC для администрирования AppLocker, см. в разделе Администрирование AppLocker.

Создание правила упакованных приложений

  1. Откройте консоль AppLocker.

  2. В меню Действие или, щелкнув правой кнопкой мыши правила упакованных приложений, выберите Создать новое правило.

  3. На странице Перед началом работы нажмите кнопку Далее.

  4. На странице Разрешения выберите действие (разрешить или запретить) и пользователя или группу, к которым должно применяться правило, а затем нажмите кнопку Далее.

  5. На странице Издатель можно выбрать конкретную ссылку для правила упаковаемого приложения и задать область для правила. В следующей таблице описаны параметры ссылок.

    Selection Описание Пример
    Использование установленного упаковаемого приложения в качестве ссылки Если выбран параметр AppLocker, необходимо выбрать приложение, которое уже установлено, на котором будет основываться новое правило. AppLocker использует издателя, имя пакета и версию пакета для определения правила. Вы хотите, чтобы группа продаж использовала только приложение с именем Microsoft.BingMaps для внешних вызовов продаж. Приложение Microsoft.BingMaps уже установлено на устройстве, где вы создаете правило, поэтому вы выбираете этот параметр. Затем выберите приложение из списка приложений, установленных на компьютере, и создайте правило, используя это приложение в качестве ссылки.
    Использование установщика упакованных приложений в качестве справки Если выбран параметр AppLocker, необходимо выбрать установщик приложения, на котором будет основываться новое правило. Упакованный установщик приложений имеет расширение .appx. AppLocker использует издателя, имя пакета и версию пакета установщика для определения правила. Ваша компания разрабатывает множество внутренних бизнес-упакованных приложений. Установщики приложений хранятся в общем файловом ресурсе. Сотрудники могут устанавливать необходимые приложения из этого файлового ресурса. Вы хотите разрешить всем сотрудникам устанавливать приложение "Заработная плата" из этой общей папки. Поэтому вы выберите этот параметр в мастере, перейдите к общей папке и выберите установщик для приложения "Заработная плата" в качестве ссылки для создания правила.

    В следующей таблице описано задание область для правила упакованных приложений.

    Selection Описание Пример
    Применимо к любому издателю Этот параметр является наименее ограничивающим область условием для разрешающего правила. Он позволяет запускать или устанавливать каждое упакованое приложение.

    И наоборот, если этот параметр является запретительным правилом, то этот параметр является самым строгим, так как он запрещает установку или запуск всех приложений.
    Вы хотите, чтобы группа "Продажи" использовала любое упаковаемое приложение от любого подписанного издателя. Вы задаете разрешения, чтобы разрешить группе Продаж запускать любое приложение.
    Применимо к определенному издателю Этот параметр ограничивает правило всеми приложениями, опубликованными определенным издателем. Вы хотите разрешить всем пользователям устанавливать приложения, опубликованные издателем Microsoft.BingMaps. Вы можете выбрать Microsoft.BingMaps в качестве ссылки и выбрать это правило область.
    Применимо к имени пакета Этот параметр ограничивает правило всеми пакетами, которые совместно используют имя издателя и имя пакета в качестве ссылочного файла. Вы хотите разрешить группе продаж установить любую версию приложения Microsoft.BingMaps. Вы можете выбрать приложение Microsoft.BingMaps в качестве ссылки и выбрать это правило область.
    Применимо к версии пакета Этот параметр ограничивает правило определенной версией пакета. Вы хотите быть выборочным в том, что вы разрешаете. Вы не хотите неявно доверять всем будущим обновлениям приложения Microsoft.BingMaps. Вы можете ограничить область правила версией приложения, установленного на компьютере-образце.
    Применение пользовательских значений к правилу Если выбрать поле Использовать пользовательские значения проверка, можно настроить поля область для конкретных обстоятельств. Вы хотите разрешить пользователям устанавливать все приложения Microsoft.Bing , включая Microsoft.BingMaps, Microsoft.BingWeather, Microsoft.BingMoney. Вы можете выбрать Microsoft.BingMaps в качестве ссылки, выбрать поле Использовать пользовательские значения проверка и изменить поле имя пакета, добавив "Microsoft.Bing*" в качестве имени пакета.
  6. Выберите Далее.

  7. (Необязательно) На странице Исключения укажите условия, с помощью которых правила не затрагивают файлы. Эти условия позволяют добавлять исключения на основе той же ссылки на правило и область, что и ранее. Выберите Далее.

  8. На странице Имя примите автоматически созданное имя правила или введите новое имя правила, а затем нажмите кнопку Создать.