共用方式為

建立已封裝應用程式的規則

本文適用於 IT 專業人員,說明如何為具有發行者條件的已封裝應用程式建立 AppLocker 規則。

已封裝的應用程式是以應用程式模型為基礎,可確保應用程式套件內的所有檔案都共用相同的身分識別。 因此,您可以使用單一 AppLocker 規則來控制整個應用程式,而不是在應用程式內每個檔案都有唯一身分識別的解壓縮應用程式。 必須簽署所有已封裝的應用程式。 AppLocker 僅支援已封裝應用程式的發行者規則。 已封裝應用程式的發行者規則是以下列資訊為基礎:

  • 套件的發行者
  • 套件名稱
  • 套件版本

套件內的所有檔案和套件安裝程式都會共用這些屬性。 因此,已封裝應用程式的AppLocker規則會控制應用程式的安裝和執行。 否則,已封裝應用程式的發行者規則的行為與其他規則集合相同。

如需發行者條件的相關信息,請參閱 瞭解AppLocker中的發行者規則條件

若要在 群組原則 Object (GPO) 中管理 AppLocker 原則,您可以使用 群組原則 管理控制台來執行這項工作。 若要管理本機計算機或用於安全性範本的 AppLocker 原則,請使用本機安全策略嵌入式管理單元。 如需如何使用這些 MMC 嵌入式管理單元來管理 AppLocker 的資訊,請參閱 管理 AppLocker

若要建立已封裝的應用程式規則

  1. 開啟 AppLocker 控制台。

  2. 在 [ 動作] 功能表上,或以滑鼠右鍵按兩下 [ 已封裝的應用程式規則],選取 [ 建立新規則]

  3. 在 [ 開始之前 ] 頁面上,選取 [ 下一步]

  4. 在 [ 許可權] 頁面上,選取動作 (允許或拒絕) 以及規則應套用的使用者或群組,然後選取 [ 下一步]

  5. 在 [ 發行者 ] 頁面上,您可以選取已封裝應用程式規則的特定參考,並設定規則的範圍。 下表描述參考選項。

    Selection 描述 範例
    使用已安裝的已封裝應用程式作為參考 如果選取,AppLocker 會要求您選擇已安裝的應用程式,以作為新規則的基礎。 AppLocker 會使用發行者、套件名稱和套件版本來定義規則。 您只希望 Sales 群組針對其外部銷售呼叫使用名為 Microsoft.BingMaps 的應用程式。 Microsoft.BingMaps 應用程式已安裝在您要建立規則的裝置上,因此您可以選擇此選項。 然後從計算機上安裝的應用程式清單中選取應用程式,並使用此應用程式作為參考來建立規則。
    使用已封裝的應用程式安裝程序作為參考 如果選取,AppLocker 會要求您選擇要作為新規則基礎的應用程式安裝程式。 已封裝的應用程式安裝程式具有.appx延伸模組。 AppLocker 會使用安裝程式的發行者、套件名稱和套件版本來定義規則。 您的公司開發許多內部企業營運封裝應用程式。 應用程式安裝程式會儲存在一般檔案共用上。 員工可以從該檔案共用安裝必要的應用程式。 您想要允許所有員工從此共用安裝薪資應用程式。 因此,您可以從精靈中選擇此選項、流覽至檔案共享,然後選擇 [薪資] 應用程式的安裝程式作為建立規則的參考。

    下表描述如何設定已封裝應用程式規則的範圍。

    Selection 描述 範例
    適用於 任何發行者 此設定是 允許 規則最不嚴格的範圍條件。 它允許每個已封裝的應用程式執行或安裝。

    相反地,如果此設定是 拒絕 規則,則此選項最嚴格,因為它會拒絕所有應用程式安裝或執行。    		 您希望 Sales 群組使用來自任何已簽署發行者的任何已封裝應用程式。 您可以設定許可權,讓 Sales 群組能夠執行任何應用程式。
    適用於特定發行 此設定會將規則的範圍設定為特定發行者發佈的所有應用程式。 您想要允許所有使用者安裝由 Microsoft.BingMaps 發行者發佈的應用程式。 您可以選取 Microsoft.BingMaps 作為參考,然後選擇此規則範圍。
    適用於套件 名稱 此設定會將規則範圍設定為所有共享發行者名稱和套件名稱做為參考檔案的套件。 您想要允許銷售群組安裝任何版本的 Microsoft.BingMaps 應用程式。 您可以選取 Microsoft.BingMaps 應用程式作為參考,然後選擇此規則範圍。
    適用於套件 版本 此設定會將規則的範圍設定為特定版本的套件。 您要選擇您允許的內容。 您不想要隱含信任 Microsoft.BingMaps 應用程式的所有未來更新。 您可以將規則的範圍限制為目前安裝在參照電腦上的應用程式版本。
    將自訂值套用至規則 選取 [ 使用自定義值 ] 複選框可讓您針對特定情況調整範圍字段。 您想要允許使用者安裝所有 Microsoft.Bing 應用程式,包括 Microsoft.BingMaps、Microsoft.BingWeather、Microsoft.BingMoney。 您可以選擇 Microsoft.BingMaps 做為參考,選取 [ 使用自定義值 ] 複選框,然後新增 “Microsoft.Bing*” 作為套件名稱來編輯套件名稱字段。

  6. 選取 [下一步]

  7. (選擇性) 在 [ 例外 狀況] 頁面上,指定排除檔案不受規則影響的條件。 這些條件可讓您根據您先前設定的相同規則參考和規則範圍來新增例外狀況。 選取 [下一步]

  8. 在 [ 名稱] 頁面上,接受自動產生的規則名稱或輸入新的規則名稱,然後選取 [ 建立]