Управление упакованными приложениями с помощью AppLocker

Этот раздел предназначен для ИТ-специалистов и посвящен описанию принципов и процедур, которые помогают в управлении упакованными приложениями с помощью AppLocker в рамках общей стратегии управления приложениями.

Общее представление об упакованных приложениях и установщиках упакованных приложений для AppLocker

Упакованные приложения, также известные как универсальные приложения Windows, основаны на модели, которая обеспечивает наличие одинакового удостоверения у всех файлов в пакете приложения. В классических приложениях Windows каждый файл в приложении может иметь уникальное удостоверение. В упакованных приложениях можно управлять всем приложением с помощью единого правила AppLocker.

Примечание  

AppLocker поддерживает только правила издателя для упакованных приложений. Все упакованные приложения должны быть подписаны издателем программного обеспечения, потому что Windows не поддерживает неподписанные упакованные приложения.

Обычно приложение состоит из нескольких компонентов: установщика для установки приложения, а также одного или нескольких файлов EXE, DLL или скриптов. В классических приложениях Windows не все эти компоненты всегда имеют общие атрибуты, например, имя издателя программного обеспечения, название продукта и его версию. Поэтому AppLocker управляет каждым из этих компонентов отдельно посредством различных коллекций правил, таких как правила установщиков EXE, DLL, скриптов и Windows. В то же время все компоненты упакованного приложения имеют одинаковые атрибуты: имя издателя, имя и версию пакета. Таким образом, можно управлять всем приложением с помощью единого правила.

Сравнение классических приложений Windows и упакованных приложений

Политики AppLocker для упакованных приложений можно применять только к приложениям, установленным на компьютерах под управлением Windows Server 2012 или Windows 8 и более поздних версий, а классическими приложениями Windows можно управлять на устройствах под управлением Windows Server 2008 R2 или Windows 7 и более поздних версий. Правила для классических приложений Windows и упакованных приложений можно применять принудительно в тандеме. Различия между упакованными приложениями и классическими приложениями Windows, которые необходимо учитывать.

• Установка приложений   Все упакованные приложения могут быть установлены обычным пользователем, а большинству классических приложений Windows для установки требуются права администратора. В среде, где большая часть пользователей является обычными пользователями, можно не иметь множество правил EXE (поскольку классическим приложениям Windows для установки требуются права администратора), но, возможно, вы захотите установить более точные политики для упакованных приложений.

• Изменение состояния системы   Классические приложения Windows могут быть созданы для изменения состояния системы, если они будут запущены с правами администратора. Большинство упакованных приложений не могут изменять состояние системы, так как они запускаются с ограниченными правами. Разрабатывая политики AppLocker, важно понимать, может ли разрешенное приложение вносить изменения в систему.

• Получение приложений   Упакованные приложения могут приобретаться через магазин или путем загрузки с помощью командлетов Windows PowerShell (приложения, которым требуется специальная корпоративная лицензия). Классические приложения Windows можно получить с помощью традиционных средств.

AppLocker использует различные коллекции правил для управления упакованными приложениями и классическими приложениями Windows. Вы можете управлять одним типом приложений, вторым типом или обоими.

Дополнительные сведения об управлении классическими приложениями Windows см. в разделе Администрирование AppLocker.

Дополнительные сведения об упакованных приложениях см. в разделе Правила упакованных приложений и установщика упакованных приложений в AppLocker.

Решения проектирования и развертывания

Можно использовать два метода для создания набора упакованных приложений на компьютере: консоль AppLocker или Get-AppxPackage командлет Windows PowerShell.

Примечание  

Не все упакованные приложения будут внесены в список мастера инвентаризации приложений AppLocker. Некоторые пакеты приложений являются пакетами платформ, используемыми другими приложениями. Сами по себе эти пакеты не могут сделать что-нибудь, но блокирование таких пакетов может случайно вызвать сбой для приложений, которые вы хотите разрешить. Вместо этого можно создать правила "Разрешить" или "Запретить" для упакованных приложений, использующих эти пакеты платформ. Пользовательский интерфейс AppLocker намеренно не отфильтровывает любые пакеты, зарегистрированные в виде пакетов платформы. Сведения о том, как создать список приложений см. в разделе Создание списка приложений, развернутых в каждую бизнес-группу.

Сведения о том, как использовать командлет Windows PowerShell Get-AppxPackage см. в разделе Справка по командам PowerShell для AppLocker.

Сведения о создании правил для упакованных приложений см. в разделе Создание правила для упакованных приложений.

При проектировании и развертывании приложений учитывайте следующую информацию.

• Так как AppLocker поддерживает только правила издателя для упакованных приложений, сбор данных о пути установки для упакованных приложений не нужен.

• Нельзя создать правила для упакованных приложений на основании хэша или пути, поскольку все упакованные приложения и установщики упакованных приложений подписаны издателем программного обеспечения пакета. Классические приложения Windows не всегда были последовательно подписаны, поэтому AppLocker должен поддерживать правила на основании хэша или пути.

• По умолчанию если нет правил в указанной коллекции правил, AppLocker разрешает каждый файл, включенный в эту коллекцию правил. Например, если нет правил установщика Windows, AppLocker разрешает запускать все файлы MSI, MSP и MST. Существующая политика AppLocker, которая была предназначена для компьютеров под управлением Windows Server 2008 R2 и Windows 7, не будет содержать правила для упакованных приложений. Поэтому, если компьютер, работающий под управлением Windows Server 2012 или Windows 8 или более поздних версий, присоединяется к домену, в котором уже настроена политика AppLocker, пользователям будет разрешено запускать любые упакованные приложения. Это может противоречить вашему проекту.

  Чтобы запретить запуск всех упакованных приложений на компьютере, только что присоединенном к домену, по умолчанию AppLocker блокирует все упакованные приложения на компьютере под управлением Windows Server 2012 или Windows 8 или более поздних версий, если текущая политика домена включает в себя правила, настроенные в коллекции правил EXE. Необходимо выполнить явное действие, чтобы разрешить упакованные приложения в вашей организации. Можно разрешить только избранный набор упакованных приложений. Если вы хотите разрешить все упакованные приложения, можно создать правило по умолчанию для коллекции упакованных приложений.

Использование AppLocker для управления упакованными приложениями

Так как существует разница в управлении каждой коллекцией правил, необходимо управлять упакованными приложениями со следующей стратегией.

1. Соберите сведения о том, какие упакованные приложения запущены в вашей среде. Дополнительную информацию о том, как это сделать, см. в разделе Создание списка приложений, развернутых в каждую бизнес-группу.

2. Создайте правило AppLocker для конкретных упакованных приложений на основании стратегий вашей политики. Дополнительные сведения см. в разделе: Создание правила для упакованных приложений и Правила по умолчанию для упакованных приложений в AppLocker.

3. Продолжайте обновлять политики AppLocker по мере того, как новые упакованные приложения будут устанавливаться в вашей среде. Сведения об обновлении политик см. в разделе Добавление правил для упакованных приложений в существующий набор правил AppLocker.

4. Продолжайте контролировать среду для проверки эффективности правил, развернутых в политиках AppLocker. Сведения о мониторинге см. в разделе Мониторинг использования приложений с помощью AppLocker.