Criar uma regra para aplicativos empacotados
Este artigo para profissionais de TI mostra como criar uma regra do AppLocker para aplicações em pacote com uma condição de publicador.
As aplicações em pacote baseiam-se num modelo de aplicação que garante que todos os ficheiros dentro de um pacote de aplicações partilham a mesma identidade. Por conseguinte, é possível controlar toda a aplicação através de uma única regra do AppLocker em vez de aplicações desempacotadas em que cada ficheiro na aplicação pode ter uma identidade exclusiva. Todas as aplicações em pacote têm de estar assinadas. O AppLocker suporta apenas regras de publicador para aplicações em pacote. Uma regra de publicador para uma aplicação em pacote baseia-se nas seguintes informações:
- Publicador do pacote
- Nome do pacote
- Versão do pacote
Todos os ficheiros dentro de um pacote e os instaladores de pacotes partilham estes atributos. Por conseguinte, uma regra do AppLocker para uma aplicação em pacote controla a instalação e a execução da aplicação. Caso contrário, as regras do publicador para aplicações em pacote comportam-se da mesma forma que noutras coleções de regras.
Para obter informações sobre a condição do publicador, consulte Compreender a condição da regra do publicador no AppLocker.
Para gerir uma política do AppLocker num Objeto Política de Grupo (GPO), pode efetuar esta tarefa com a Consola de Gestão do Política de Grupo. Para gerir uma política appLocker para o computador local ou para utilizar num modelo de segurança, utilize o snap-in Política de Segurança Local. Para obter informações sobre como utilizar estes snap-ins de MMC para administrar o AppLocker, consulte Administrar o AppLocker.
Para criar uma regra de aplicação em pacote
Abra a consola do AppLocker.
No menu Ação ou ao clicar com o botão direito do rato em Regras da aplicação em pacote, selecione Criar Nova Regra.
Na página Antes de Começar , selecione Seguinte.
Na página Permissões , selecione a ação (permitir ou negar) e o utilizador ou grupo a que a regra deve ser aplicada e, em seguida, selecione Seguinte.
Na página Publicador , pode selecionar uma referência específica para a regra da aplicação em pacote e definir o âmbito da regra. A tabela seguinte descreve as opções de referência.
Seleção Descrição Exemplo Utilizar uma aplicação em pacote instalada como referência Se estiver selecionado, o AppLocker requer que escolha uma aplicação que já esteja instalada para basear a nova regra. O AppLocker utiliza o publicador, o nome do pacote e a versão do pacote para definir a regra. Pretende que o grupo Vendas utilize apenas a aplicação com o nome Microsoft.BingMaps para as chamadas de vendas externas. A aplicação Microsoft.BingMaps já está instalada no dispositivo onde está a criar a regra, por isso, selecione esta opção. Em seguida, selecione a aplicação na lista de aplicações instaladas no computador e crie a regra com esta aplicação como referência. Utilizar um instalador de aplicações em pacote como referência Se estiver selecionado, o AppLocker requer que escolha um instalador de aplicações no qual baseie a nova regra. Um instalador de aplicações em pacote tem a extensão .appx. O AppLocker utiliza o publicador, o nome do pacote e a versão do pacote do instalador para definir a regra. A sua empresa desenvolve muitas aplicações em pacote de linha de negócio internas. Os instaladores de aplicações são armazenados numa partilha de ficheiros comum. Os funcionários podem instalar as aplicações necessárias a partir dessa partilha de ficheiros. Quer permitir que todos os seus funcionários instalem a aplicação Folha de Pagamentos a partir desta partilha. Por isso, selecione esta opção no assistente, navegue até à partilha de ficheiros e selecione o instalador da aplicação Folha de Pagamentos como referência para criar a sua regra. A tabela seguinte descreve a definição do âmbito da regra da aplicação em pacote.
Seleção Descrição Exemplo Aplica-se a Qualquer publicador Esta definição é a condição de âmbito menos restritiva para uma regra Permitir . Permite que todas as aplicações em pacote executem ou instalem.
Por outro lado, se esta definição for uma regra negar , esta opção é a mais restritiva porque nega que todas as aplicações sejam instaladas ou executadas.Quer que o grupo Vendas utilize qualquer aplicação em pacote de qualquer fabricante assinado. Defina as permissões para permitir que o grupo Vendas possa executar qualquer aplicação. Aplica-se a um Publicador específico Esta definição define o âmbito da regra para todas as aplicações publicadas por um publicador específico. Quer permitir que todos os seus utilizadores instalem aplicações publicadas pelo editor do Microsoft.BingMaps. Pode selecionar Microsoft.BingMaps como referência e escolher este âmbito de regra. Aplica-se a um Nome do pacote Esta definição define o âmbito da regra para todos os pacotes que partilham o nome do publicador e o nome do pacote como o ficheiro de referência. Quer permitir que o grupo Vendas instale qualquer versão da aplicação Microsoft.BingMaps. Pode selecionar a aplicação Microsoft.BingMaps como referência e escolher este âmbito de regra. Aplica-se a uma versão do Pacote Esta definição define o âmbito da regra para uma versão específica do pacote. Quer ser seletivo naquilo que permite. Não quer confiar implicitamente em todas as atualizações futuras da aplicação Microsoft.BingMaps. Pode limitar o âmbito da regra à versão da aplicação atualmente instalada no seu computador de referência. Aplicar valores personalizados à regra Selecionar a caixa Utilizar valores personalizados marcar permite-lhe ajustar os campos de âmbito para a sua circunstância específica. Quer permitir que os utilizadores instalem todas as aplicações Microsoft.Bing , que incluem Microsoft.BingMaps, Microsoft.BingWeather, Microsoft.BingMoney. Pode escolher o Microsoft.BingMaps como referência, selecionar a caixa Utilizar valores personalizados marcar e editar o campo de nome do pacote ao adicionar "Microsoft.Bing*" como o Nome do pacote. Selecione Avançar.
(Opcional) Na página Exceções, especifique as condições para excluir os ficheiros de serem afetados pela regra. Estas condições permitem-lhe adicionar exceções com base na mesma referência de regra e no âmbito da regra que definiu anteriormente. Selecione Avançar.
Na página Nome , aceite o nome da regra gerada automaticamente ou escreva um novo nome de regra e, em seguida, selecione Criar.