Gerir Aplicações Em Pacote com o Controlo de Aplicações do Windows Defender

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Observação

Algumas capacidades do Controlo de Aplicações do Windows Defender (WDAC) só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do WDAC.

Este artigo para profissionais de TI descreve conceitos e procedimentos de listas para o ajudar a gerir aplicações em pacote com o Controlo de Aplicações do Windows Defender (WDAC) como parte da sua estratégia geral de controlo de aplicações.

Comparar aplicações clássicas do Windows e aplicações em pacote

O maior desafio na adoção do controlo de aplicações é a falta de uma identidade de aplicação forte para aplicações clássicas do Windows, também conhecidas como aplicações win32. Uma aplicação win32 típica consiste em vários componentes, incluindo o instalador utilizado para instalar a aplicação e um ou mais exes, dlls ou scripts. Uma aplicação pode consistir em centenas ou mesmo milhares de binários individuais que trabalham em conjunto para fornecer a funcionalidade que os seus utilizadores compreendem como a aplicação. Alguns desses códigos podem ser assinados pelo fabricante de software, alguns podem ser assinados por outras empresas e alguns deles podem não estar assinados. Grande parte do código pode ser escrito no disco por um conjunto comum de instaladores, mas alguns podem já estar instalados e alguns transferidos a pedido. Alguns dos binários têm metadados de cabeçalho de recursos comuns, como o nome do produto e a versão do produto, mas outros ficheiros não partilham essas informações. Por isso, embora queira poder expressar regras como "permitir a aplicação Foo", isso não é algo que o Windows compreenda inerentemente para aplicações clássicas do Windows. Em vez disso, poderá ter de criar muitas regras WDAC para permitir todos os ficheiros que compõem a aplicação.

Por outro lado, as aplicações em pacote, também conhecidas como MSIX, garantem que todos os ficheiros que compõem uma aplicação partilham a mesma identidade e têm uma assinatura comum. Por conseguinte, com aplicações em pacote, é possível controlar toda a aplicação com uma única regra WDAC.

Utilizar o WDAC para Gerir Aplicações Em Pacote

Importante

Ao controlar aplicações em pacote, tem de escolher entre regras de signatário ou regras de Nome da Família de Pacotes (PFN). Se for utilizada qualquer regra de Nome da Família de Pacotes (PFN) na política base do WDAC ou numa das políticas suplementares, todas as aplicações em pacote têm de ser controladas exclusivamente através de regras PFN. Não pode misturar e combinar regras PFN com regras baseadas em assinaturas dentro do âmbito de uma determinada política de base. Isto afetará muitas aplicações do sistema de caixa de entrada, como o menu Iniciar. Pode utilizar carateres universais nas regras PFN no Windows 11 para simplificar a criação da regra.

Criar regras baseadas em assinaturas para Aplicações Em Pacote

Todos os ficheiros que compõem uma aplicação MSIX são assinados com uma assinatura de catálogo comum. Pode criar uma regra de signatário a partir do ficheiro do instalador da aplicação MSIX (.msix ou .msixbundle) ou do ficheiro AppxSignature.p7x encontrado na pasta de instalação da aplicação em %ProgramFiles%\WindowsApps\ com o cmdlet New-CIPolicyRule powerShell. Por exemplo:

Criar regra de signatário a partir do MSIX/MSIXBUNDLE

$FilePath = $env:USERPROFILE+'\Downloads\WDACWizard_2.1.0.1_x64_8wekyb3d8bbwe.MSIX'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

Em seguida, utilize o cmdlet Merge-CIPolicy do PowerShell para intercalar a nova regra no XML da política WDAC existente.

Criar regra de signatário a partir de AppxSignature.p7x

$FilePath = $env:ProgramFiles+'\WindowsApps\Microsoft.WDAC.WDACWizard_2.1.0.1_x64__8wekyb3d8bbwe\AppxSignature.p7x'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

Em seguida, utilize o cmdlet Merge-CIPolicy do PowerShell para intercalar a nova regra no XML da política WDAC existente.

Creating PackageFamilyName rules for Packaged Apps

Criar regras PFN a partir do PowerShell

Pode criar regras PFN diretamente a partir de aplicações em pacote que estão atualmente instaladas com os cmdlets Get-AppXPackage e New-CIPolicyRule do PowerShell. Por exemplo:

# Query for the packaged apps. This example looks for all packages from Microsoft.
$Packages = Get-AppXPackage -Name Microsoft.*
foreach ($Package in $Packages)
{
   $Rules += New-CIPolicyRule -Package $Package
}

Em seguida, utilize o cmdlet Merge-CIPolicy do PowerShell para intercalar as novas regras no XML da política WDAC existente.

Criar regras PFN com o Assistente do WDAC

Criar uma regra PFN a partir de uma aplicação MSIX instalada

Utilize os seguintes passos para criar uma regra WDAC PFN para uma aplicação instalada no sistema:

1. Na página Regras de Assinatura de Políticas do Assistente do WDAC, selecione Adicionar Regra Personalizada.
2. Verifique a Regra de Modelo de Utilizador como o Âmbito da Regra, se não estiver selecionada.
3. Selecione Permitir ou Negar para a Ação de Regra.
4. Selecione Aplicação Em Pacote para o Tipo de Regra.
5. No campo Nome do Pacote , introduza um valor de cadeia para procurar. Pode utilizar ? ou * carateres universais na cadeia de pesquisa. Em seguida, selecione Procurar.
6. Na caixa de resultados, selecione uma ou mais aplicações para as quais pretende criar regras.
7. Selecione Criar Regra.
8. Crie as outras regras pretendidas e, em seguida, conclua o Assistente.

Criar uma regra PFN com uma cadeia personalizada

Utilize os seguintes passos para criar uma regra PFN com um valor de cadeia personalizado:

1. Repita os passos 1 a 4 no exemplo anterior.
2. Selecione a caixa com o nome Utilizar Família de Pacotes Personalizados. A etiqueta do botão Procurar muda para Criar.
3. No campo Nome do Pacote , introduza um valor de cadeia para a regra PFN. Pode utilizar ? ou * carateres universais se tiver como destino dispositivos Windows 11. Em seguida, selecione Criar
4. Na caixa de resultados, selecione uma ou mais aplicações para as quais pretende criar regras.
5. Selecione Criar Regra.
6. Crie as outras regras pretendidas e, em seguida, conclua o Assistente.