Microsoft Teams 中的 AppLocker 应用程序控制策略
本文介绍如何使用 AppLocker 应用程序控制策略启用 Teams 桌面客户端应用。 AppLocker 的使用旨在限制非管理用户的程序和脚本执行。 有关 AppLocker 的详细信息和指南,请参阅 什么是 AppLocker?。
使用 AppLocker 启用 Teams 的过程需要创建基于 AppLocker 的允许列表策略。 使用组策略管理软件和/或使用适用于 AppLocker 的 Windows PowerShell cmdlet 创建策略 (请参阅 AppLocker 技术参考,了解) 的详细信息。 AppLocker 策略以 XML 格式保存,可以使用任何文本或 XML 编辑器进行编辑。
使用 AppLocker 的 Teams 允许列表
AppLocker 规则组织到规则集合中。 AppLocker 规则适用于目标应用,它们是构成 AppLocker 策略的组件。
若要允许 Teams,我们建议使用 发布者条件规则 ,因为所有 Teams 应用文件都是数字签名的。
不建议使用路径规则,因为 Teams 安装目录是用户可写的。 我们还不建议使用哈希规则,因为每次更新 Teams 客户端应用时都必须更新规则。
由于 Teams 桌面可执行文件是数字签名的,发布者条件会根据应用文件的数字签名和嵌入版本属性来标识应用文件。 数字签名包含有关 (发布者) 创建应用文件的公司的信息。 从二进制资源获取的版本信息包括文件所属的产品名称和应用程序文件的版本号。
发布者条件规则示例
对于 Teams 客户端应用 (所有文件,所有版本) 将以下内容添加到可执行规则 & DLL 规则:
Publisher: O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US
Product name: MICROSOFT TEAMS
Product name: MICROSOFT TEAMS UPDATE