使用 AppLocker 管理封装应用

本文面向 IT 专业人员介绍概念和过程,以帮助你将 AppLocker 作为整体应用程序控制策略的一部分来管理打包应用。

了解 AppLocker 的打包应用和打包应用安装程序

打包的应用基于一个模型,该模型可确保应用包中的所有文件共享相同的标识。 使用经典 Windows 应用时,应用中的每个文件都可以具有唯一的标识。 使用打包的应用,可以使用单个 AppLocker 规则控制整个应用。

注意

AppLocker 仅支持打包应用的发布者规则。 所有打包的应用都必须由软件发布者签名,因为 Windows 不支持未签名的打包应用。

通常,应用由多个组件组成:用于安装应用的安装程序,以及一个或多个 exe、dll 或脚本。 对于经典 Windows 应用,并非所有组件都共享通用属性,例如软件的发布者名称、产品名称和产品版本。 因此,AppLocker 通过不同的规则集合(如 exe、dll、脚本和 Windows Installer 规则)分别控制其中每个组件。 相反,打包应用的所有组件共享相同的发布者名称、包名称和包版本属性。 因此,可以使用单个规则控制整个应用。

比较经典 Windows 应用和打包应用

经典 Windows 应用和打包应用的规则可以同时强制执行。 应考虑的打包应用与经典 Windows 应用之间的差异包括:

  • 安装应用 - 所有打包的应用都可以由标准用户安装,而许多经典 Windows 应用需要管理权限才能安装。 在大多数用户都是标准用户的环境中,可能需要较少的 exe 规则 (,因为经典 Windows 应用需要管理权限才能安装) ,但你可能需要更多适用于打包应用的规则。
  • 更改系统状态 - 如果经典 Windows 应用以管理权限运行,则可以编写这些应用来更改系统状态。 大多数打包的应用无法更改系统状态,因为它们以有限的权限运行。 设计 AppLocker 策略时,请务必了解所允许的应用是否可以进行系统范围的更改。

AppLocker 使用不同的规则集合来控制打包的应用和经典 Windows 应用。 可以选择控制一种类型、另一种类型或同时控制这两种类型。

有关控制经典 Windows 应用的信息,请参阅 管理 AppLocker

有关打包应用的详细信息,请参阅 AppLocker 中的打包应用和打包应用安装程序规则

设计和部署决策

可以使用两种方法在计算机上创建打包应用清单:AppLocker 控制台或 Get-AppxPackage Windows PowerShell cmdlet。

注意

并非所有打包的应用都列在 AppLocker 的应用程序清单向导中。 某些应用包是由其他应用利用的框架包。 这些包本身无法执行任何操作,但阻止此类包可能会无意中导致你想要允许的应用失败。 相反,你可以为使用这些框架包的打包应用创建“允许”或“拒绝”规则。 AppLocker 用户界面特意筛选掉注册为框架包的所有包。 有关如何创建清单列表的信息,请参阅 创建部署到每个业务组的应用列表

有关如何使用 Get-AppxPackage Windows PowerShell cmdlet 的信息,请参阅 AppLocker PowerShell 命令参考

有关为打包应用创建规则的信息,请参阅 为打包的应用创建规则

设计和部署应用时,请考虑以下信息:

  • 由于 AppLocker 仅支持打包应用的发布者规则,因此不需要收集打包应用的安装路径信息。
  • 无需为打包的应用创建基于哈希或路径的规则,因为软件发布者必须对所有打包的应用和打包的应用安装程序进行签名。 经典 Windows 应用并不总是一致签名;因此,AppLocker 必须支持基于哈希或路径的规则。
  • 默认情况下,如果特定规则集合中没有规则,AppLocker 将允许该规则集合中包含的每个文件。 例如,如果没有 Windows Installer 规则,AppLocker 允许运行所有 .msi、.msp 和 .mst 文件。

注意

默认情况下,如果现有域策略在 exe 规则集合中配置了规则,AppLocker 将阻止所有打包的应用。 必须采取显式操作,以允许企业中的打包应用。 只能允许一组选择的打包应用。 或者,如果要允许所有打包的应用,可以为打包的应用集合创建默认规则。

使用 AppLocker 管理打包的应用

正如管理每个规则集合存在差异一样,你需要使用以下策略管理打包的应用:

  1. 收集有关环境中运行的打包应用的信息。 有关如何收集此信息的信息,请参阅 创建部署到每个业务组的应用列表

  2. 根据策略策略为特定打包应用创建 AppLocker 规则。 有关详细信息,请参阅 为打包应用创建规则了解 AppLocker 默认规则

  3. 在环境中引入新的包应用时,请继续更新 AppLocker 策略。 若要执行此更新,请参阅 将打包应用的规则添加到现有 AppLocker 规则集

  4. 继续监视环境,验证 AppLocker 策略中部署的规则的有效性。 若要进行此监视,请参阅 使用 AppLocker 监视应用使用情况