Управление упакованными приложениями с помощью AppLocker
В этой статье для ИТ-специалистов описаны основные понятия и описаны процедуры, которые помогут вам управлять упакованными приложениями с помощью AppLocker в рамках общей стратегии управления приложениями.
Основные сведения о упакованных приложениях и установщиках упакованных приложений для AppLocker
Упакованные приложения основаны на модели, которая гарантирует, что все файлы в пакете приложения используют одно удостоверение. В классических приложениях Windows каждый файл в приложении может иметь уникальное удостоверение. С помощью упакованных приложений можно управлять всем приложением с помощью одного правила AppLocker.
Примечание.
AppLocker поддерживает только правила издателя для упакованных приложений. Все упакованные приложения должны быть подписаны издателем программного обеспечения, так как Windows не поддерживает неподписанные упакованные приложения.
Как правило, приложение состоит из нескольких компонентов: установщика, используемого для установки приложения, и одного или нескольких exe-файлов, библиотек DLL или скриптов. В классических приложениях для Windows не все эти компоненты всегда используют общие атрибуты, такие как имя издателя программного обеспечения, название продукта и версия продукта. Таким образом, AppLocker управляет каждым из этих компонентов отдельно с помощью различных коллекций правил, таких как exe, dll, скрипты и правила установщика Windows. В отличие от этого, все компоненты упаковаемого приложения используют одно и то же имя издателя, имя пакета и атрибуты версии пакета. Таким образом, вы можете управлять всем приложением с помощью одного правила.
Сравнение классических приложений Windows и упакованных приложений
Правила для классических приложений Windows и упакованных приложений можно применять в тандеме. Следует учитывать различия между упакованными и классическими приложениями Для Windows:
- Установка приложений . Все упакованные приложения могут быть установлены обычным пользователем, в то время как для установки многих классических приложений Windows требуются права администратора. В среде, где большинство пользователей являются стандартными пользователями, может потребоваться меньше правил exe (так как классическим приложениям Windows требуются права администратора для установки), но вам может потребоваться больше правил для упакованных приложений.
- Изменение состояния системы . Классические приложения Для Windows можно написать, чтобы изменить состояние системы, если они выполняются с правами администратора. Большинство упакованных приложений не могут изменить состояние системы, так как они выполняются с ограниченными привилегиями. При разработке политик AppLocker важно понимать, может ли приложение, которое вы разрешаете, вносить изменения в систему.
AppLocker использует различные коллекции правил для управления упакованными приложениями и классическими приложениями Для Windows. Вы можете управлять одним типом, другим типом или обоими.
Сведения об управлении классическими приложениями Для Windows см. в статье Администрирование AppLocker.
Дополнительные сведения о упакованных приложениях см. в статье Упакованные приложения и правила установщика упакованных приложений в AppLocker.
Решения по проектированию и развертыванию
Для создания инвентаризации упакованных приложений на компьютере можно использовать два метода: консоль AppLocker или командлет Get-AppxPackage Windows PowerShell.
Примечание.
Не все упакованные приложения перечислены в мастере инвентаризации приложений AppLocker. Некоторые пакеты приложений — это пакеты платформы, которые используются другими приложениями. Сами по себе эти пакеты ничего не могут сделать, но блокировка таких пакетов может непреднамеренно привести к сбою для приложений, которые вы хотите разрешить. Вместо этого можно создать правила разрешения или запрета для упакованных приложений, использующих эти пакеты платформы. Пользовательский интерфейс AppLocker намеренно отфильтровывает все пакеты, зарегистрированные как пакеты платформы. Сведения о создании списка инвентаризации см. в статье Создание списка приложений, развернутых в каждой бизнес-группе.
Сведения об использовании командлета Get-AppxPackage Windows PowerShell см. в справочнике по командам PowerShell для AppLocker.
Сведения о создании правил для упакованных приложений см. в статье Создание правила для упакованных приложений.
При разработке и развертывании приложений учитывайте следующие сведения:
- Так как AppLocker поддерживает только правила издателя для упакованных приложений, сбор сведений о пути установки для упакованных приложений не требуется.
- Вам не нужно создавать правила на основе хэша или пути для упакованных приложений, так как издатель программного обеспечения должен подписывать все упакованные приложения и упакованные установщики приложений. Классические приложения Для Windows не всегда были последовательно подписаны; Поэтому AppLocker должен поддерживать правила на основе хэша или пути.
- По умолчанию, если в определенной коллекции правил нет правил, AppLocker разрешает каждый файл, включенный в эту коллекцию правил. Например, если правила установщика Windows отсутствуют, AppLocker позволяет запускать все .msi, MSP и MST-файлы.
Примечание.
По умолчанию AppLocker блокирует все упакованные приложения, если существующая политика домена содержит правила, настроенные в коллекции правил exe. Необходимо явным образом разрешить упакованные приложения в организации. Вы можете разрешить только избранный набор упакованных приложений. Если вы хотите разрешить все упакованные приложения, можно создать правило по умолчанию для коллекции упакованных приложений.
Использование AppLocker для управления упакованными приложениями
Так же, как существуют различия в управлении каждой коллекцией правил, необходимо управлять упакованными приложениями с помощью следующей стратегии:
Соберите сведения о том, какие упакованные приложения выполняются в вашей среде. Сведения о сборе этих сведений см. в статье Создание списка приложений, развернутых в каждой бизнес-группе.
Создайте правила AppLocker для определенных упакованных приложений на основе стратегий политики. Дополнительные сведения см. в разделах Создание правила для упакованных приложений и Общие сведения о правилах AppLocker по умолчанию.
Продолжайте обновлять политики AppLocker по мере внедрения новых приложений пакета в вашу среду. Сведения об этом обновлении см. в статье Добавление правил для упакованных приложений в существующий набор правил AppLocker.
Продолжайте следить за своей средой, чтобы проверить эффективность правил, развернутых в политиках AppLocker. Сведения о мониторинге см. в статье Мониторинг использования приложений с помощью AppLocker.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по