创建封装应用规则

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文面向 IT 专业人员介绍如何为具有发布者条件的打包应用创建 AppLocker 规则。

打包的应用基于一个应用模型，该模型可确保应用包中的所有文件共享相同的标识。 因此，可以使用单个 AppLocker 规则来控制整个应用，而不是未打包的应用，其中应用中的每个文件都可以具有唯一标识。 所有打包的应用都必须签名。 AppLocker 仅支持打包应用的发布者规则。 打包应用的发布者规则基于以下信息：

• 包的发布者
• 包名称
• 程序包版本

包中的所有文件和包安装程序共享这些属性。 因此，打包应用的 AppLocker 规则控制应用的安装和运行。 否则，打包应用的发布者规则的行为与其他规则集合中的行为相同。

有关发布者条件的信息，请参阅 了解 AppLocker 中的发布者规则条件。

若要在 组策略 对象 (GPO) 中管理 AppLocker 策略，可以使用 组策略 管理控制台执行此任务。 若要管理本地计算机或用于安全模板的 AppLocker 策略，请使用本地安全策略管理单元。 有关如何使用这些 MMC 管理单元来管理 AppLocker 的信息，请参阅 管理 AppLocker。

创建打包的应用规则

1. 打开 AppLocker 控制台。

2. 在 “操作 ”菜单上，或右键单击“ 打包的应用规则”，选择“ 创建新规则”。

3. 在 “开始之前” 页上，选择“ 下一步”。

4. 在 “权限” 页上，选择 (允许或拒绝) 以及应用规则的用户或组的操作，然后选择“ 下一步”。

5. 在 “发布服务器 ”页上，可以为打包的应用规则选择特定引用，并设置规则的范围。 下表介绍了引用选项。

   选择	说明	示例
   使用已安装的打包应用作为参考	如果选中，AppLocker 会要求你选择一个已安装的应用，以作为新规则的基础。 AppLocker 使用发布者、包名称和包版本来定义规则。	你希望销售组仅使用名为 Microsoft.BingMaps 的应用进行外部销售呼叫。 Microsoft.BingMaps 应用已安装在创建规则的设备上，因此选择此选项。 然后，从计算机上安装的应用列表中选择该应用，并使用此应用作为参考创建规则。
   使用打包的应用安装程序作为参考	如果选中，AppLocker 会要求你选择新规则所基于的应用安装程序。 打包的应用安装程序具有 .appx 扩展。 AppLocker 使用安装程序的发布者、包名称和包版本来定义规则。	你的公司开发许多内部业务线打包应用。 应用安装程序存储在公共文件共享上。 员工可以从该文件共享安装所需的应用。 你希望允许所有员工从此共享安装“工资单”应用。 因此，从向导中选择此选项，浏览到文件共享，并选择“工资单”应用的安装程序作为参考来创建规则。

   下表介绍了如何设置打包的应用规则的范围。

   选择	说明	示例
   适用于 任何发布者	此设置是 “允许” 规则限制最少的范围条件。 它允许每个打包的应用运行或安装。 相反，如果此设置是 “拒绝” 规则，则此选项是限制性最高的，因为它会拒绝安装或运行所有应用。	你希望销售组使用来自任何已签名发布者的任何打包应用。 设置权限以允许销售组能够运行任何应用。
   适用于特定 发布服务器	此设置将规则的范围限定为由特定发布者发布的所有应用。	你希望允许所有用户安装由 Microsoft.BingMaps 发布者发布的应用。 可以选择 Microsoft.BingMaps 作为引用，然后选择此规则范围。
   适用于 包名称	此设置将规则的范围限定为将发布者名称和包名称共享为引用文件的所有包。	你希望允许销售组安装任何版本的 Microsoft.BingMaps 应用。 可以选择 Microsoft.BingMaps 应用作为参考并选择此规则范围。
   适用于 包版本	此设置将规则的范围限定为包的特定版本。	你想要在允许的方面具有选择性。 你不希望隐式信任 Microsoft.BingMaps 应用的所有未来更新。 可以将规则的范围限制为引用计算机上当前安装的应用版本。
   将自定义值应用于规则	选择“使用自定义值检查”框可以调整特定情况的范围字段。	你希望允许用户安装所有 Microsoft.Bing 应用程序，其中包括 Microsoft.BingMaps、Microsoft.BingWeather、Microsoft.BingMoney。 可以选择 Microsoft.BingMaps 作为引用，选择“使用自定义值检查”框，并通过添加“Microsoft.Bing*”作为包名称来编辑包名称字段。

6. 选择下一步 。

7. (可选) 在 “例外” 页上，指定要排除受规则影响的文件的条件。 这些条件允许你根据之前设置的相同规则引用和规则范围添加例外。 选择下一步 。

8. 在“ 名称 ”页上，接受自动生成的规则名称或键入新规则名称，然后选择“ 创建”。