应用安装程序安全功能
内部版本 1.24.1981 引入了以下应用安装程序安全功能:
- Internet 警告
- Microsoft基于 SmartScreen 信誉的 URL 验证
- URL 安全区域
Internet 警告
每当用户从 Internet 安装包时,应用安装程序都向用户显示警告横幅。 显示 Internet 警告时,用户应注意验证对话框上列出的源是否受信任。
从 Internet 上的不受信任的站点安装软件可能会有风险,并暴露给恶意软件和其他攻击。 有关详细信息,请参阅“ 保护自己免受在线骗局和攻击”
Microsoft基于 SmartScreen 信誉的 URL 验证
应用安装程序现在利用 Microsoft SmartScreen 来帮助用户在安装软件之前做出明智的解码。 在从 Internet 源下载包之前,应用安装程序将咨询Microsoft SmartScreen 的 URL 信誉服务。
出现此错误时,用户可以选择“取消”或“继续”(不建议)。
单击“继续”将允许应用安装程序打开包进行安装。
URL 安全区域
除了启用和禁用 MS-AppInstaller 协议之外,IT 专业人员现在可以阻止用户安装企业不允许的 URI 中的应用。 IT 专业人员可以从特定的 URL 安全区域禁用安装。
当用户尝试打开阻止的 URL 时,它们将显示以下对话框。
配置应用安装程序区域
EnableMSAppInstallerProtocol 条目 EnableMSAppInstallerProtocol 允许 IT 专业人员启用或禁用 MS-AppInstaller 协议。
启用: HKLM:\Software\Policies\Microsoft\Windows\AppInstaller EnableMSAppInstallerProtocol=1'
EnableMsixAllowedZones
如果 EnableMsixAllowedZones 已启用(设置为“1”),则可以选择替代应用安装程序是否允许安全区域。
启用: 'HKLM:\Software\Policies\Microsoft\Windows\AppInstaller" EnableMsixAllowedZones=1'
MsixAllowedZones
启用 EnableMsixAllowedZones 后,应用安装程序将寻求遵守 MsixAllowedZones 中指定的限制。 默认情况下,将拒绝 UntrustedSites 安全区域中的 URL,并允许所有其他区域。
允许区域: HKLM:\Software\Policies\Microsoft\Windows\AppInstaller\MsixAllowedZones" UntrustedSites=1
区域数据
安全区域 | 默认 | 详细信息 |
---|---|---|
本地计算机 | 允许 | 设置为 “已阻止 ”将阻止安装任何本地 MSIX。 |
Intranet | 允许 | 设置为“已阻止”将阻止文件下载并安装企业服务器。 |
受信任的站点 | 允许 | 设置为“允许”时,IT 专业人员允许特定的 Internet URI。 |
Internet | 允许 | 设置为“允许”时,IT 专业人员允许限制从所有 Internet URI 安装应用。 |
不受信任的网站 | 被阻止 | 设置为 “已阻止”时,IT 专业人员允许阻止特定的 Internet URI。 |
应用安装程序 CSP 安全区域
对 URL 安全区域的应用安装程序访问权限由 DesktopAppinstaller CSP 控制。 如果应用安装程序尝试从阻止的区域加载 URL,用户将收到错误。
IT 专业人员可以使用 policy-csp-internetexplorer 将站点添加到受限或受信任的站点区域。 如果 URL 出现在阻止的区域中,应用安装程序将阻止安装。