Criar uma regra para aplicativos empacotados

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Este artigo para profissionais de TI mostra como criar uma regra do AppLocker para aplicativos empacotados com uma condição de editor.

Os aplicativos empacotados são baseados em um modelo de aplicativo que garante que todos os arquivos dentro de um pacote de aplicativo compartilhem a mesma identidade. Portanto, é possível controlar todo o aplicativo usando uma única regra AppLocker em vez de aplicativos não empacotados em que cada arquivo dentro do aplicativo poderia ter uma identidade exclusiva. Todos os aplicativos empacotados devem ser assinados. O AppLocker dá suporte apenas a regras de editor para aplicativos empacotados. Uma regra de editor para um aplicativo empacotado baseia-se nas seguintes informações:

• Publicador do pacote
• Nome do pacote
• Versão do pacote

Todos os arquivos dentro de um pacote e os instaladores de pacote compartilham esses atributos. Portanto, uma regra AppLocker para um aplicativo empacotado controla a instalação e a execução do aplicativo. Caso contrário, as regras do editor para aplicativos empacotados se comportam da mesma forma que em outras coleções de regras.

Para obter informações sobre a condição do editor, consulte Entendendo a condição de regra do editor no AppLocker.

Para gerenciar uma política appLocker em um GPO (objeto Política de Grupo), você pode executar essa tarefa usando o Console de Gerenciamento Política de Grupo. Para gerenciar uma política AppLocker para o computador local ou para uso em um modelo de segurança, use o snap-in Política de Segurança Local. Para obter informações sobre como usar esses snap-ins do MMC para administrar o AppLocker, consulte Administrar AppLocker.

Para criar uma regra de aplicativo empacotada

1. Abra o console do AppLocker.

2. No menu Ação ou clicando com o botão direito do mouse em Regras do aplicativo empacotado, selecione Criar Nova Regra.

3. Na página Antes de Começar , selecione Avançar.

4. Na página Permissões , selecione a ação (permitir ou negar) e o usuário ou grupo ao qual a regra deve ser aplicada e selecione Avançar.

5. Na página Publicador , você pode selecionar uma referência específica para a regra de aplicativo empacotada e definir o escopo da regra. A tabela a seguir descreve as opções de referência.

   Seleção	Descrição	Exemplo
   Usar um aplicativo empacotado instalado como referência	Se selecionado, o AppLocker exigirá que você escolha um aplicativo que já está instalado no qual basear sua nova regra. O AppLocker usa o editor, o nome do pacote e a versão do pacote para definir a regra.	Você deseja que o grupo Vendas use apenas o aplicativo chamado Microsoft.BingMaps para suas chamadas de vendas externas. O aplicativo Microsoft.BingMaps já está instalado no dispositivo em que você está criando a regra, portanto, você escolhe essa opção. Em seguida, selecione o aplicativo na lista de aplicativos instalados no computador e crie a regra usando este aplicativo como referência.
   Usar um instalador de aplicativo empacotado como referência	Se selecionado, o AppLocker exigirá que você escolha um instalador de aplicativo no qual basear sua nova regra. Um instalador de aplicativo empacotado tem a extensão .appx. O AppLocker usa o editor, o nome do pacote e a versão do pacote do instalador para definir a regra.	Sua empresa desenvolve muitos aplicativos empacotados de linha de negócios internos. Os instaladores de aplicativo são armazenados em um compartilhamento de arquivo comum. Os funcionários podem instalar os aplicativos necessários desse compartilhamento de arquivos. Você deseja permitir que todos os seus funcionários instalem o aplicativo Payroll a partir desse compartilhamento. Portanto, você escolhe essa opção no assistente, navega até o compartilhamento de arquivos e escolhe o instalador para o aplicativo Payroll como referência para criar sua regra.

   A tabela a seguir descreve a configuração do escopo da regra do aplicativo empacotado.

   Seleção	Descrição	Exemplo
   Aplica-se a Qualquer editor	Essa configuração é a condição de escopo menos restritiva para uma regra de permissão . Ele permite que todos os aplicativos empacotados sejam executados ou instalados. Por outro lado, se essa configuração for uma regra Deny , essa opção será a mais restritiva porque nega que todos os aplicativos instalem ou executem.	Você deseja que o grupo Vendas use qualquer aplicativo empacotado de qualquer editor assinado. Você define as permissões para permitir que o grupo Vendas possa executar qualquer aplicativo.
   Aplica-se a um Publicador específico	Essa configuração escopos a regra para todos os aplicativos publicados por um editor específico.	Você deseja permitir que todos os usuários instalem aplicativos publicados pelo editor do Microsoft.BingMaps. Você pode selecionar Microsoft.BingMaps como referência e escolher esse escopo de regra.
   Aplica-se a um nome de pacote	Essa configuração escopos a regra para todos os pacotes que compartilham o nome do editor e o nome do pacote como o arquivo de referência.	Você deseja permitir que seu grupo Vendas instale qualquer versão do aplicativo Microsoft.BingMaps. Você pode selecionar o aplicativo Microsoft.BingMaps como referência e escolher esse escopo de regra.
   Aplica-se a uma versão do Pacote	Essa configuração escopos a regra para uma versão específica do pacote.	Você deseja ser seletivo no que você permite. Você não deseja confiar implicitamente em todas as atualizações futuras do aplicativo Microsoft.BingMaps. Você pode limitar o escopo de sua regra à versão do aplicativo atualmente instalada em seu computador de referência.
   Aplicando valores personalizados à regra	Selecionar a caixa Usar valores personalizados marcar permite ajustar os campos de escopo para sua circunstância específica.	Você deseja permitir que os usuários instalem todos os aplicativos Microsoft.Bing , que incluem Microsoft.BingMaps, Microsoft.BingWeather, Microsoft.BingMoney. Você pode escolher o Microsoft.BingMaps como referência, selecione a caixa Usar valores personalizados marcar e edite o campo nome do pacote adicionando "Microsoft.Bing*" como o nome do pacote.

6. Selecione Avançar.

7. (Opcional) Na página Exceções, especifique as condições pelas quais excluir arquivos de serem afetados pela regra. Essas condições permitem adicionar exceções com base no mesmo escopo de regra e referência de regra que você definiu antes. Selecione Avançar.

8. Na página Nome , aceite o nome da regra gerada automaticamente ou digite um novo nome de regra e selecione Criar.