通过

创建封装应用规则

  • 项目

面向 IT 专业人员的本主题介绍了如何创建带有发布者条件的封装应用的 AppLocker 规则。

封装应用(也称为通用 Windows 应用)基于应用模型,该模型可确保应用包内的所有文件都共享同一个标识。因此,相对于应用中的每个文件具有独特标识的非封装应用,封装应用可以使用 AppLocker 规则控制整个应用。Windows 不支持未签名的封装应用,即表示所有封装应用都必须进行签名。AppLocker 仅支持封装应用的发布者规则。封装应用的发布者规则基于以下信息:

  • 程序包发布者

  • 程序包名称

  • 程序包版本

所有程序包和包安装程序中的文件都具有这些属性。因此,适用于封装应用的 AppLocker 规则可同时控制应用的安装和运行。否则,封装应用的发布者规则与其他规则集合没有区别;这些规则支持例外、范围可大可小并且可以分配给用户和组。

有关发布者条件的信息,请参阅了解 AppLocker 中的发布者规则条件

对于组策略对象 (GPO) 中的 AppLocker 策略,你可以使用组策略管理控制台执行此任务;对于本地计算机或安全模板中的 AppLocker 策略,你可以使用本地安全策略管理单元执行此任务。有关如何使用这些 MMC 管理单元管理 AppLocker 的信息,请参阅管理 AppLocker

Mt431738.wedge(zh-cn,VS.85).gif创建封装应用规则

  1. 打开 AppLocker 控制台。

  2. 在“操作”菜单上,或通过右键单击“封装应用规则”****,单击“创建新规则”。

  3. 在“开始之前”****页上,单击“下一步”。

  4. 在“权限”****页面上,选择应当应用规则的操作(允许操作或拒绝操作)以及用户或组,然后单击“下一步”。

  5. 在“发布者”****页面上,你可以选择封装应用规则的特定引用,并设置规则范围。下表介绍了参考选项。

    选择 说明 示例

    将已安装的封装应用用作参考

    如果已选定,AppLocker 将要求你选择作为新规则基础的已安装应用。AppLocker 使用发布者、程序包名称和程序包版本定义规则。

    你想要销售组仅将名为 Microsoft.BingMaps 的应用用于其外部销售呼叫。Microsoft.BingMaps 已安装在你创建该规则的设备上,因此你可以选择此选项、从安装在该计算机上的应用的列表中选择应用并将此应用作为参考创建规则。

    将封装应用安装程序用作参考

    如果已选定,AppLocker 将要求你选择作为新规则基础的应用安装程序。封装应用安装程序的扩展名为 .appx。AppLocker 使用安装程序的发布者、程序包名称和程序包版本定义规则。

    你的公司已经开发了很多内部业务线封装应用。应用安装程序存储在常用文件共享上。员工可从该文件共享安装所需应用。你想要允许你的员工从此共享中安装“工资单”应用。你可以从向导中选择此选项,浏览到文件共享并将“工资单”应用的安装程序选择作为创建规则的参考。

     

    下表介绍了设置封装应用规则的范围。

    选择 说明 示例

    应用于“任何发布者”

    这对于“允许”规则而言对范围条件的限制最少。它允许每个封装应用运行或进行安装。

    相反,如果这是“拒绝”规则,则此选项将最为严格,因为它不允许安装或运行所有应用。

    你想要销售组使用所有已签名发布者的所有封装应用。你设置相关权限,以允许销售组能够运行任何应用。

    应用于特定“发布者”

    这会限定特定发布者发布的所有应用的规则范围。

    你想要允许所有用户安装 Microsoft.BingMaps 发布者发布的应用。你可以选择 Microsoft.BingMaps 作为参考,并选择此规则范围。

    应用于“程序包名称”

    这将共享发布者名称和程序包名称的所有程序包规则限定为引用文件。

    你想要允许销售组安装任意版本的 Microsoft.BingMaps 应用。你可以选择 Microsoft.BingMaps 作为参考,并选择此规则范围。

    应用于“程序包版本”

    这会限定特定版本的程序包的规则范围。

    你希望仔细选择所允许的内容。你不想隐式信任 Microsoft.BingMaps 应用的所有以后的更新。你可以将规则范围限制到当前在参考计算机上安装的应用版本。

    将自定义值应用到规则

    通过选中“使用自定义值”复选框,你可以调整特定环境的范围字段。

    你想要允许用户安装所有 Microsoft.Bing* 应用程序,包括 Microsoft.BingMaps、Microsoft.BingWeather 和 Microsoft.BingMoney。你可以选择 Microsoft.BingMaps 作为参考、选中“使用自定义值”复选框并通过添加“Microsoft.Bing*”作为程序包名称来编辑程序包名称字段。

     

  6. 单击“下一步”。

  7. (可选)在“例外”****页面上,指定排除文件受规则影响的条件。这允许你添加基于与以前设置相同的规则引用和规则范围的例外。单击“下一步”。

  8. 在“名称”****页面上,接受自动生成的规则名称,或者键入新的规则名称,然后单击“创建”。