内部版本 1.24.1981 引入了以下应用安装程序安全功能:
- Internet 警告
- Microsoft基于 SmartScreen 信誉的 URL 验证
- URL 安全区域
Internet 警告
每当用户从 Internet 安装包时,应用安装程序都向用户显示警告横幅。 显示 Internet 警告时,用户应注意验证对话框上列出的源是否受信任。
从 Internet 上的不受信任的站点安装软件可能会有风险,并暴露给恶意软件和其他攻击。 有关详细信息,请参阅“保护自己免受在线骗局和攻击”
Microsoft基于 SmartScreen 信誉的 URL 验证
应用安装程序现在利用 Microsoft SmartScreen 来帮助用户在安装软件之前做出明智的决策。 在从 Internet 源下载包之前,应用安装程序将咨询Microsoft SmartScreen 的 URL 信誉服务。
出现此错误时,用户可以选择“ 取消 ”或 “继续 ”(不建议)。
单击“继续”将允许应用安装程序打开包进行安装。
URL 安全区域
除了启用和禁用 MS-AppInstaller 协议之外,IT 专业人员现在可以阻止用户安装企业不允许的 URI 中的应用。 IT 专业人员可以从特定的 URL 安全区域禁用安装。
当用户尝试打开阻止的 URL 时,它们将显示以下对话框。
配置应用安装程序区域
EnableMSAppInstallerProtocolEnableMSAppInstallerProtocol 条目允许 IT 专业人员启用或禁用 MS-AppInstaller 协议。
启用: HKLM:\Software\Policies\Microsoft\Windows\AppInstaller EnableMSAppInstallerProtocol=1'
EnableMsixAllowedZones
如果 EnableMsixAllowedZones 已启用(设置为“1”),则您可以选择覆盖应用安装程序是否允许安全区域的设置。
启用: 'HKLM:\Software\Policies\Microsoft\Windows\AppInstaller" EnableMsixAllowedZones=1'
MsixAllowedZones
启用 EnableMsixAllowedZones 后,应用安装程序将寻求遵守 MsixAllowedZones 中指定的限制。 默认情况下,UntrustedSites 安全区域中的 URL 将被拒绝,而所有其他区域将被允许。
允许区域: HKLM:\Software\Policies\Microsoft\Windows\AppInstaller\MsixAllowedZones" UntrustedSites=1
区域数据
| 安全区域 | 默认 | 详细信息 |
|---|---|---|
| 本地计算机 | 允许 | 设置为 “已阻止 ”将阻止安装任何本地 MSIX。 |
| 内联网 | 允许 | 设置为 “已阻止” 将阻止从企业服务器下载和安装的文件。 |
| 受信任的站点 | 允许 | 设置为 “允许”时,IT 专业人员可以允许特定的 Internet URI。 |
| 互联网 | 允许 | 设置为 “允许”时,可以让 IT 专业人员限制从所有互联网 URI 安装应用程序。 |
| 不受信任的网站 | 被阻止 | 设置为 “已阻止” 时,可以让 IT 专业人员阻止特定的 Internet 统一资源标识符 (URI)。 |
应用安装程序 CSP 安全区域
对 URL 安全区域的应用安装程序访问权限由 DesktopAppinstaller CSP 控制。 如果应用安装程序尝试从阻止的区域加载 URL,用户将收到错误。
IT 专业人员可以使用 policy-csp-internetexplorer 将站点添加到受限或受信任的站点区域。 如果 URL 出现在阻止的区域中,应用安装程序将阻止安装。