Создание правила для упакованных приложений

  • Статья

В этом разделе для ИТ-специалистов показано, как создать правило AppLocker для упакованных приложений с условием издателя.

Упакованные приложения, или универсальные приложения для Windows, основаны на модели приложений, которая обеспечивает наличие одинакового идентификатора у всех файлов в пакете приложения. Следовательно, все приложение можно контролировать с помощью одного правила AppLocker в отличие от неупакованных приложений, в которых каждый файл может иметь уникальный идентификатор. Windows не поддерживает неподписанные упакованные приложения. Это означает, что все упакованные приложения должны быть подписаны. AppLocker поддерживает только правила издателя для упакованных приложений. Правило издателя для упакованного приложения основано на следующих сведениях:

  • Издатель пакета

  • Имя пакета

  • Версия пакета

Эти атрибуты есть у всех файлов в пакете, а также у установщика пакета. Таким образом, правило AppLocker для упакованного приложения контролирует как установку, так и выполнение приложения. В остальном правила издателя для упакованных приложений не отличаются от других коллекций правил; они поддерживают исключения, их область действия можно расширять и сужать, а также их можно назначать пользователям и группам.

Сведения об условии издателя см. в статье Общие сведения об условии правила издателя в AppLocker.

Эта задача выполняется с помощью консоли управления групповыми политиками для политики AppLocker в объекте групповой политики (GPO) или с помощью оснастки "Локальная политика безопасности" для политики AppLocker на локальном компьютере или в шаблоне безопасности. Сведения об использовании этих оснасток MMC для администрирования AppLocker см. в статье Администрирование AppLocker.

Mt431738.wedge(ru-ru,VS.85).gifСоздание правила для упакованных приложений

  1. Откройте консоль AppLocker.

  2. В меню Действие, или щелкнув правой кнопкой мыши Правила упакованных приложений, выберите пункт Создать новое правило.

  3. На странице Перед началом работы нажмите кнопку Далее.

  4. На странице Разрешения выберите действие (разрешение или запрет) и нужного пользователя или группу, а затем нажмите кнопку Далее.

  5. На странице Издатель вы можете выбрать образец для правила упакованного приложения и задать его область действия. В следующей таблице описываются параметры образцов.

    Параметр Описание Пример

    Использовать для примера установленное упакованное приложение

    В этом случае необходимо выбрать установленное приложение, на котором будет основано новое правило. Для определения правила AppLocker использует сведения об издателе, имя и версию пакета.

    Вам нужно, чтобы только отдел продаж использовал приложение Microsoft.BingMaps для внешних вызовов. Приложение Microsoft.BingMaps уже установлено на устройстве, где создается правило, поэтому вы выбираете этот параметр, а затем приложение из списка установленных на компьютере приложений и создаете правило, используя это приложение в качестве примера.

    Использовать для примера установщик упакованного приложения

    В этом случае необходимо выбрать установщик приложений, на котором будет основано новое правило. Установщик упакованных приложений имеет расширение APPX. Для определения правила AppLocker использует сведения об издателе, имя и версию пакета установщика.

    Ваша организация разработала ряд упакованных бизнес-приложений для внутреннего использования. Установщики приложений хранятся в общей папке. Сотрудники могут установить необходимые приложения из этой общей папки. Вы хотите, чтобы все сотрудники могли установить приложение для расчета заработной платы из этой папки. Поэтому вы выбираете в мастере этот параметр, открываете общую папку и выбираете установщик программы для расчета заработной платы в качестве образца для создания правила.

     

    В следующей таблице описывается настройка области действия для правила упакованных приложений.

    Параметр Описание Пример

    Применяется к любому издателю

    Это условие области для правила Разрешить налагает наименьшие ограничения. Оно разрешает устанавливать все упакованные приложения.

    И наоборот, применение правила Запретить предусматривает наибольшие ограничения, так как оно запрещает установку и запуск всех приложений.

    Вы хотите, чтобы отдел продаж мог использовать любое упакованное приложение от любого подписанного издателя. Вы задаете разрешения, чтобы отдел продаж мог запустить любое приложение.

    Применяется к определенному издателю

    Ограничивает правило всеми приложениями, опубликованными определенным издателем.

    Вы хотите, чтобы все ваши пользователи могли устанавливать приложения, опубликованные издателем приложения Microsoft.BingMaps. Вы можете выбрать приложение Microsoft.BingMaps в качестве примера и выбрать эту область действия правила.

    Применяется к имени пакета

    Область действия правила ограничивается всеми пакетами, использующими те же имена издателя и пакета, что и файл образца.

    Отделу продаж нужно разрешить устанавливать любую версию приложения Microsoft.BingMaps. Вы можете выбрать приложение Microsoft.BingMaps в качестве образца и выбрать эту область действия правила.

    Применяется к версии пакета

    Ограничивает область действия правила определенной версией пакета.

    Вам нужно тщательно выбирать разрешенные приложения. Вы не хотите по умолчанию доверять всем будущим обновлениям приложения Microsoft.BingMaps. Вы можете ограничить область действия правила версией приложения, установленной на компьютере-образце.

    Применение пользовательских значений к правилу

    Установив флажок Пользовательские значения, вы можете выбрать области действия правила для вашего конкретного случая.

    Вы хотите разрешать пользователям устанавливать все приложения Microsoft.Bing*, в частности Microsoft.BingMaps, Microsoft.BingWeather, Microsoft.BingMoney. Вы можете выбрать Microsoft.BingMaps в качестве примера, установить флажок Пользовательские значения и изменить имя пакета на Microsoft.Bing*.

     

  6. Нажмите кнопку Далее.

  7. (Необязательно) На странице Исключения укажите условия, по которым файлы исключаются из области действия правила. Это позволяет добавлять исключения на основе заданных ранее образца и области действия правила. Нажмите кнопку Далее.

  8. На странице Имя примите автоматически созданное имя правила или введите новое, а затем нажмите кнопку Создать.