Gestire le app in pacchetto con Windows Defender controllo applicazione

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità WDAC.

Questo articolo per i professionisti IT descrive i concetti ed elenca le procedure che consentono di gestire le app in pacchetto con Windows Defender controllo delle applicazioni (WDAC) come parte della strategia generale di controllo delle applicazioni.

Confronto tra app di Windows classiche e app in pacchetto

La sfida più grande nell'adozione del controllo delle applicazioni è la mancanza di un'identità di app avanzata per le app di Windows classiche, note anche come app win32. Una tipica app win32 è costituita da più componenti, tra cui il programma di installazione usato per installare l'app e uno o più exe, DLL o script. Un'app può essere costituita da centinaia o addirittura migliaia di singoli file binari che interagiscono per offrire le funzionalità che gli utenti comprendono come app. Parte di tale codice potrebbe essere firmato dall'editore del software, alcuni potrebbero essere firmati da altre società e alcuni di esso potrebbero non essere firmati affatto. Gran parte del codice può essere scritto su disco da un set comune di programmi di installazione, ma alcuni potrebbero essere già installati e alcuni scaricati su richiesta. Alcuni file binari hanno metadati comuni dell'intestazione delle risorse, ad esempio il nome del prodotto e la versione del prodotto, ma altri file non condivideranno tali informazioni. Quindi, anche se vuoi essere in grado di esprimere regole come "consenti app Foo", questo non è qualcosa che Windows comprende intrinsecamente per le app di Windows classiche. Potrebbe invece essere necessario creare molte regole WDAC per consentire tutti i file che costituiscono l'app.

Le app in pacchetto, d'altra parte, note anche come MSIX, assicurano che tutti i file che costituiscono un'app condividano la stessa identità e abbiano una firma comune. Pertanto, con le app in pacchetto, è possibile controllare l'intera app con una singola regola WDAC.

Uso di WDAC per gestire le app in pacchetto

Importante

Quando si controllano le app in pacchetto, è necessario scegliere tra le regole del firmatario o le regole PFN (Package Family Name). Se viene usata una regola PFN (Package Family Name) nei criteri di base WDAC o in uno dei relativi criteri supplementari, tutte le app in pacchetto devono essere controllate esclusivamente usando le regole PFN. Non è possibile combinare regole PFN con regole basate su firma all'interno dell'ambito di un determinato criterio di base. Ciò influirà su molte app di sistema della posta in arrivo, ad esempio il menu Start. È possibile usare caratteri jolly nelle regole PFN in Windows 11 per semplificare la creazione della regola.

Creazione di regole basate su firma per le app in pacchetto

Tutti i file che costituiscono un'app MSIX sono firmati con una firma del catalogo comune. È possibile creare una regola del firmatario dal file del programma di installazione dell'app MSIX (con estensione msix o msixbundle) o dal file AppxSignature.p7x presente nella cartella di installazione dell'app in %ProgramFiles%\WindowsApps\ usando il cmdlet Di PowerShell New-CIPolicyRule . Ad esempio:

Creare una regola del firmatario da MSIX/MSIXBUNDLE

$FilePath = $env:USERPROFILE+'\Downloads\WDACWizard_2.1.0.1_x64_8wekyb3d8bbwe.MSIX'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

Usare quindi il cmdlet Di PowerShell Merge-CIPolicy per unire la nuova regola nel codice XML dei criteri WDAC esistente.

Creare una regola del firmatario da AppxSignature.p7x

$FilePath = $env:ProgramFiles+'\WindowsApps\Microsoft.WDAC.WDACWizard_2.1.0.1_x64__8wekyb3d8bbwe\AppxSignature.p7x'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

Usare quindi il cmdlet Di PowerShell Merge-CIPolicy per unire la nuova regola nel codice XML dei criteri WDAC esistente.

Creazione di regole PackageFamilyName per le app in pacchetto

Creare regole PFN da PowerShell

È possibile creare regole PFN direttamente dalle app in pacchetto attualmente installate usando i cmdlet Di PowerShell Get-AppXPackage e New-CIPolicyRule . Ad esempio:

# Query for the packaged apps. This example looks for all packages from Microsoft.
$Packages = Get-AppXPackage -Name Microsoft.*
foreach ($Package in $Packages)
{
   $Rules += New-CIPolicyRule -Package $Package
}

Usare quindi il cmdlet Di PowerShell Merge-CIPolicy per unire le nuove regole nel codice XML dei criteri WDAC esistente.

Creare regole PFN tramite la Creazione guidata WDAC

Creare una regola PFN da un'app MSIX installata

Seguire questa procedura per creare una regola PFN WDAC per un'app installata nel sistema:

1. Nella pagina Regole di firma dei criteri della Creazione guidata WDAC selezionare Aggiungi regola personalizzata.
2. Se non è selezionata, selezionare Regola modalità utente come ambito della regola.
3. Selezionare Consenti o Nega per l'azione della regola.
4. Selezionare App in pacchetto per il tipo di regola.
5. Nel campo Nome pacchetto immettere un valore stringa per la ricerca. È possibile usare ? o * caratteri jolly nella stringa di ricerca. Selezionare quindi Cerca.
6. Nella casella dei risultati selezionare una o più app per cui si vogliono creare regole.
7. Selezionare Crea regola.
8. Creare qualsiasi altra regola desiderata, quindi completare la procedura guidata.

Creare una regola PFN usando una stringa personalizzata

Per creare una regola PFN con un valore stringa personalizzato, seguire questa procedura:

1. Ripetere i passaggi da 1 a 4 nell'esempio precedente.
2. Selezionare la casella denominata Use Custom Package Family (Usa famiglia di pacchetti personalizzata). L'etichetta del pulsante Cerca viene modificata in Crea.
3. Nel campo Nome pacchetto immettere un valore stringa per la regola PFN. È possibile usare ? i caratteri jolly o * se la destinazione è Windows 11 dispositivi. Quindi selezionare Crea
4. Nella casella dei risultati selezionare una o più app per cui si vogliono creare regole.
5. Selezionare Crea regola.
6. Creare qualsiasi altra regola desiderata, quindi completare la procedura guidata.