Функции безопасности установщика приложений

Сборка 1.24.1981 представила следующие функции безопасности установщика приложений:

• Предупреждение в Интернете
• Проверка URL-адреса на основе репутации Microsoft SmartScreen
• Зоны безопасности URL-адресов

Предупреждение в Интернете

Установщик приложений отображает предупреждающий баннер пользователю всякий раз, когда пользователь устанавливает пакет из Интернета. Когда отображается предупреждение в Интернете, пользователи должны быть осторожны, чтобы убедиться, что источник, указанный в диалоговом окне, является доверенным.

Установка программного обеспечения с ненадежного сайта в Интернете может быть рискованной и подвержена вредоносным программам и другим эксплойтам. Дополнительные сведения см. в статье "Защита от онлайн-мошенничества и атак"

Проверка URL-адреса на основе репутации Microsoft SmartScreen

Установщик приложений теперь использует microsoft SmartScreen , чтобы помочь пользователям создавать информированные ошибки перед установкой программного обеспечения. Перед скачиванием пакета из источника интернета установщик приложений будет обращаться к службе репутации URL-адресов Microsoft SmartScreen.

При появлении этой ошибки пользователь может выбрать отмену или продолжить (не рекомендуется).

Нажатие кнопки "Продолжить" позволит установщику приложений открыть пакет для установки.

Зоны безопасности URL-адресов

Помимо включения и отключения протокола MS-AppInstaller ИТ-специалисты теперь могут запретить пользователям устанавливать приложения из URI, которые предприятие не разрешает. ИТ-специалисты могут отключить установку из определенных зон безопасности URL-адресов.

Когда пользователь пытается открыть заблокированный URL-адрес, он будет представлен в следующем диалоговом окне.

Настройка зоны установщиков приложений

EnableMSAppInstallerProtocol Запись EnableMSAppInstallerProtocol позволяет ИТ-специалистам включить или отключить протокол MS-AppInstaller. Включен: HKLM:\Software\Policies\Microsoft\Windows\AppInstaller EnableMSAppInstallerProtocol=1'

EnableMsixAllowedZones

Если enableMsixAllowedZones (задано значение "1"), у вас будет возможность переопределить, разрешает ли установщик приложений зону безопасности или нет.

Включен: 'HKLM:\Software\Policies\Microsoft\Windows\AppInstaller" EnableMsixAllowedZones=1'

MsixAllowedZones

При включении EnableMsixAllowedZones установщик приложений будет учитывать ограничения, указанные в MsixAllowedZones. По умолчанию URL-адреса в зоне безопасности untrustedSites будут отклонены, а все остальные зоны будут разрешены.

Разрешить зону: HKLM:\Software\Policies\Microsoft\Windows\AppInstaller\MsixAllowedZones" UntrustedSites=1

Данные зоны

Зона безопасности	По умолчанию.	Подробный сведения
Локальный компьютер	Разрешить	Параметр "Заблокировано" не позволит установить локальную MSIX.
Интрасеть	Разрешить	Параметр "Заблокировано" предотвращает скачивание и установку файлов с корпоративных серверов.
Надежные сайты	Разрешить	Если задано значение Allow, ИТ-специалист может разрешить определенные URI Интернета.
Интернет	Allow	Если задано значение Allow, ИТ-специалист может ограничить установку приложений со всех URI Интернета.
Ненадежные сайты	Заблокировано	Если задано значение "Заблокировано", ИТ-специалист может блокировать определенные URI Интернета.

Зоны безопасности установщика приложений CSP

Доступ установщика приложений к зонам безопасности URL-адресов контролируется поставщиком CSP DesktopAppinstaller. Если установщик приложений пытается загрузить URL-адрес из зоны, заблокированной, пользователь получит сообщение об ошибке.

ИТ-специалисты могут добавлять сайты в зону ограниченных или надежных сайтов с помощью политики-csp-internetexplorer. Если URL-адрес отображается в зоне, которая заблокирована, установщик приложений блокирует установку.