使用 AppLocker 管理已封裝應用程式

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文適用於 IT 專業人員，說明可協助您使用 AppLocker 管理已封裝應用程式的概念和程式，作為整體應用程控策略的一部分。

瞭解適用於AppLocker的已封裝應用程式和已封裝應用程式安裝程式

已封裝的應用程式是以可確保應用程式套件內的所有檔案共用相同身分識別的模型為基礎。 使用傳統 Windows 應用程式時，應用程式內的每個檔案都可以有唯一的身分識別。 使用已封裝的應用程式，可以使用單一 AppLocker 規則來控制整個應用程式。

注意

AppLocker 僅支援已封裝應用程式的發行者規則。 所有已封裝的應用程式都必須由軟體發行者簽署，因為 Windows 不支援未簽署的封裝應用程式。

一般而言，應用程式包含多個元件：用來安裝應用程式的安裝程式，以及一或多個exes、dll或腳本。 使用傳統 Windows 應用程式時，並非所有元件一律會共用一般屬性，例如軟體的發行者名稱、產品名稱和產品版本。 因此，AppLocker 會透過不同的規則集合個別控制這些元件，例如 exe、dll、腳本和 Windows Installer 規則。 相反地，已封裝應用程式的所有元件會共用相同的發行者名稱、套件名稱和套件版本屬性。 因此，您可以使用單一規則來控制整個應用程式。

比較傳統 Windows 應用程式和已封裝的應用程式

傳統 Windows 應用程式和已封裝應用程式的規則可以同時強制執行。 封裝應用程式與您應該考慮的傳統 Windows 應用程式之間的差異包括：

• 安裝應用程式 - 所有已封裝的應用程式都可以由標準使用者安裝，而許多傳統 Windows 應用程式則需要系統管理許可權才能安裝。 在大部分使用者都是標準使用者的環境中，您可能需要較少的 exe 規則 (，因為傳統 Windows 應用程式需要系統管理許可權才能安裝) ，但您可能需要更多已封裝應用程式的規則。
• 變更系統狀態 - 如果傳統 Windows 應用程式是以系統管理許可權執行，則可以撰寫這些應用程式來變更系統狀態。 大部分已封裝的應用程式無法變更系統狀態，因為它們以有限的許可權執行。 當您設計 AppLocker 原則時，請務必瞭解您允許的應用程式是否可以進行全系統的變更。

AppLocker 會使用不同的規則集合來控制已封裝的應用程式和傳統 Windows 應用程式。 您可以選擇控制一個類型、另一個類型或兩者。

如需控制傳統 Windows 應用程式的資訊，請參閱 管理 AppLocker。

如需已封裝應用程式的詳細資訊，請參閱 AppLocker 中的已封裝應用程式和已封裝的應用程式安裝程序規則。

設計和部署決策

您可以使用兩種方法在計算機上建立已封裝應用程式的清查：AppLocker 控制台或 Get-AppxPackage Windows PowerShell Cmdlet。

注意

並非所有已封裝的應用程式都會列在AppLocker的應用程式清查精靈中。 某些應用程式套件是其他應用程式所利用的架構套件。 這些套件本身無法執行任何動作，但封鎖這類套件可能會不小心導致您想要允許的應用程式失敗。 相反地，您可以為使用這些架構套件的已封裝應用程式建立允許或拒絕規則。 AppLocker 使用者介面會刻意篩選出所有註冊為架構套件的套件。 如需如何建立清查清單的資訊，請參閱 建立部署到每個商務群組的應用程式清單。

如需如何使用 Get-AppxPackage Windows PowerShell Cmdlet 的相關信息，請參閱 AppLocker PowerShell 命令參考。

如需建立已封裝應用程式規則的相關信息，請參閱 建立已封裝應用程式的規則。

當您設計和部署應用程式時，請考慮下列資訊：

• 因為 AppLocker 只支援已封裝應用程式的發行者規則，所以不需要收集已封裝應用程式的安裝路徑資訊。
• 您不需要為已封裝的應用程式建立哈希或路徑型規則，因為軟體發行者必須簽署所有已封裝的應用程式和已封裝的應用程式安裝程式。 傳統 Windows 應用程式不一定會一致地簽署;因此，AppLocker 必須支援哈希或路徑型規則。
• 根據預設，如果特定規則集合中沒有任何規則，AppLocker 會允許該規則集合中包含的每個檔案。 例如，如果沒有 Windows Installer 規則，AppLocker 會允許所有 .msi、.msp 和 .mst 檔案執行。

注意

根據預設，如果現有網域原則在 exe 規則集合中設定規則，AppLocker 會封鎖所有已封裝的應用程式。 您必須採取明確動作，以允許企業中已封裝的應用程式。 您只能允許一組選取的已封裝應用程式。 或者，如果您想要允許所有已封裝的應用程式，您可以為封裝的應用程式集合建立默認規則。

使用 AppLocker 管理已封裝的應用程式

如同管理每個規則集合有差異，您需要使用下列策略來管理已封裝的應用程式：

1. 收集您環境中哪些已封裝應用程式正在執行的相關信息。 如需如何收集此資訊的資訊，請參閱 建立部署到每個商務群組的應用程式清單。

2. 根據您的原則策略，為特定已封裝的應用程式建立AppLocker規則。 如需詳細資訊，請 參閱建立已封裝應用程式的規則 和 瞭解AppLocker默認規則。

3. 隨著新的套件應用程式導入您的環境，請繼續更新AppLocker原則。 若要執行此更新，請 參閱將已封裝應用程式的規則新增至現有的 AppLocker 規則集。

4. 繼續監視您的環境，以確認部署在AppLocker原則中的規則有效性。 若要進行此監視，請 參閱使用AppLocker監視應用程式使用量。