AppLocker 中的封装应用和封装应用安装程序规则
本主题介绍了封装应用安装程序和封装应用的 AppLocker 规则集合。
通用 Windows 应用可通过 Windows 应用商店安装,也可通过使用 Windows PowerShell cmdlet 进行旁加载。通用 Windows 应用可由标准用户安装,不像一些经典 Windows 应用程序有时需要管理权限才能安装。
通常,应用由多个组件组成:用于安装应用的安装程序,以及一个或多个 exe、dll 或脚本。对于经典 Windows 应用程序,并非所有这些组件都始终共享通用属性,例如发布者名称、产品名称和产品版本。因此,AppLocker 必须通过不同的规则集合(例如 exe、dll、脚本和 Windows 安装程序)来分别控制其中每一个组件。相比之下,通用 Windows 应用的所有组件都共享相同的属性:发布者名称、程序包名称和程序包版本。因此,可以使用单个规则控制整个应用。
AppLocker 独立于经典 Windows 应用程序而强制执行适用于通用 Windows 应用的规则。适用于通用 Windows 应用的单个 AppLocker 规则可同时控制应用的安装和运行。由于所有通用 Windows 应用均已签名,AppLocker 仅支持用于通用 Windows 应用的发布者规则。通用 Windows 应用的发布者规则基于应用的以下属性:
发布者名称
程序包名称
程序包版本
总之,在策略设计中包含用于通用 Windows 应用的 AppLocker 规则可提供:
控制应用安装和运行的功能
使用单个规则控制应用的所有组件而非控制应用内单个二进制文件的功能
创建在应用更新过期后仍有效的应用程序控制策略的功能
通过组策略管理通用 Windows 应用。