Gérer les applications empaquetées avec App Control for Business
Remarque
Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.
Cet article destiné aux professionnels de l’informatique décrit les concepts et répertorie les procédures pour vous aider à gérer les applications empaquetées avec App Control for Business dans le cadre de votre stratégie de contrôle d’application globale.
Comparaison des applications Windows classiques et des applications empaquetées
Le plus grand défi de l’adoption du contrôle d’application est l’absence d’une identité d’application forte pour les applications Windows classiques, également appelées applications win32. Une application win32 classique se compose de plusieurs composants, y compris le programme d’installation utilisé pour installer l’application, et d’un ou plusieurs exes, dlls ou scripts. Une application peut se composer de centaines, voire de milliers de fichiers binaires individuels, qui fonctionnent ensemble pour fournir les fonctionnalités que vos utilisateurs comprennent comme l’application. Une partie de ce code peut être signée par l’éditeur du logiciel, d’autres peuvent être signées par d’autres sociétés, et d’autres peuvent ne pas être signées du tout. Une grande partie du code peut être écrite sur le disque par un ensemble commun de programmes d’installation, mais certains peuvent déjà être installés et d’autres téléchargés à la demande. Certains fichiers binaires ont des métadonnées d’en-tête de ressource communes, telles que le nom du produit et la version du produit, mais d’autres fichiers ne partagent pas ces informations. Par conséquent, bien que vous souhaitiez pouvoir exprimer des règles telles que « autoriser l’application Foo », ce n’est pas quelque chose que Windows comprend par nature pour les applications Windows classiques. Au lieu de cela, vous devrez peut-être créer de nombreuses règles de contrôle d’application pour autoriser tous les fichiers qui composent l’application.
En revanche, les applications empaquetées, également appelées MSIX, garantissent que tous les fichiers qui composent une application partagent la même identité et ont une signature commune. Par conséquent, avec les applications empaquetées, il est possible de contrôler l’ensemble de l’application avec une seule règle de contrôle d’application.
Utilisation du contrôle d’application pour gérer les applications empaquetées
Important
Lorsque vous contrôlez des applications empaquetées, vous devez choisir entre les règles de signataire ou les règles PFN (Package Family Name). Si une règle de nom de famille de package (PFN) est utilisée dans votre stratégie de base App Control ou l’une de ses stratégies supplémentaires, toutes les applications empaquetées doivent être contrôlées exclusivement à l’aide de règles PFN. Vous ne pouvez pas combiner des règles PFN avec des règles basées sur des signatures dans l’étendue d’une stratégie de base donnée. Cela affectera de nombreuses applications système de boîte de réception, comme le menu Démarrer. Vous pouvez utiliser des caractères génériques dans les règles PFN sur Windows 11 pour simplifier la création de règles.
Création de règles basées sur des signatures pour les applications empaquetées
Tous les fichiers qui composent une application MSIX sont signés avec une signature de catalogue commune. Vous pouvez créer une règle de signataire à partir du fichier d’installation de l’application MSIX (.msix ou .msixbundle) ou du fichier AppxSignature.p7x trouvé dans le dossier d’installation de l’application sous %ProgramFiles%\WindowsApps\ à l’aide de l’applet de commande PowerShell New-CIPolicyRule . Par exemple :
Créer une règle de signataire à partir de MSIX/MSIXBUNDLE
$FilePath = $env:USERPROFILE+'\Downloads\WDACWizard_2.1.0.1_x64_8wekyb3d8bbwe.MSIX'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher
Utilisez ensuite l’applet de commande PowerShell Merge-CIPolicy pour fusionner votre nouvelle règle dans votre code XML de stratégie App Control existant.
Créer une règle de signataire à partir d’AppxSignature.p7x
$FilePath = $env:ProgramFiles+'\WindowsApps\Microsoft.App Control.WDACWizard_2.1.0.1_x64__8wekyb3d8bbwe\AppxSignature.p7x'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher
Utilisez ensuite l’applet de commande PowerShell Merge-CIPolicy pour fusionner votre nouvelle règle dans votre code XML de stratégie App Control existant.
Création de règles PackageFamilyName pour les applications empaquetées
Créer des règles PFN à partir de PowerShell
Vous pouvez créer des règles PFN directement à partir d’applications empaquetées actuellement installées à l’aide des applets de commande PowerShell Get-AppXPackage et New-CIPolicyRule . Par exemple :
# Query for the packaged apps. This example looks for all packages from Microsoft.
$Packages = Get-AppXPackage -Name Microsoft.*
foreach ($Package in $Packages)
{
$Rules += New-CIPolicyRule -Package $Package
}
Utilisez ensuite l’applet de commande PowerShell Merge-CIPolicy pour fusionner vos nouvelles règles dans votre code XML de stratégie App Control existant.
Créer des règles PFN à l’aide de l’Assistant Contrôle d’application
Créer une règle PFN à partir d’une application MSIX installée
Procédez comme suit pour créer une règle PFN De contrôle d’application pour une application installée sur le système :
- Dans la page Règles de signature de stratégie de l’Assistant Contrôle d’application, sélectionnez Ajouter une règle personnalisée.
- Si cette option n’est pas cochée, cochez La règle usermode comme étendue de la règle.
- Sélectionnez Autoriser ou Refuser pour votre action de règle.
- Sélectionnez Application empaquetée pour votre type de règle.
- Dans le champ Nom du package , entrez une valeur de chaîne à rechercher. Vous pouvez utiliser
?
des caractères génériques ou*
dans la chaîne de recherche. Sélectionnez ensuite Rechercher. - Dans la zone de résultats, case activée une ou plusieurs applications pour lesquelles vous souhaitez créer des règles.
- Sélectionnez Créer une règle.
- Créez toutes les autres règles souhaitées, puis terminez l’Assistant.
Créer une règle PFN à l’aide d’une chaîne personnalisée
Procédez comme suit pour créer une règle PFN avec une valeur de chaîne personnalisée :
- Répétez les étapes 1 à 4 dans l’exemple précédent.
- Cochez la case Utiliser la famille de packages personnalisée. L’étiquette du bouton Rechercher devient Créer.
- Dans le champ Nom du package , entrez une valeur de chaîne pour votre règle PFN. Vous pouvez utiliser
?
des caractères génériques ou*
si vous ciblez des appareils Windows 11. Sélectionnez ensuite Créer. - Dans la zone de résultats, case activée une ou plusieurs applications pour lesquelles vous souhaitez créer des règles.
- Sélectionnez Créer une règle.
- Créez toutes les autres règles souhaitées, puis terminez l’Assistant.