应用安装程序安全功能

内部版本 1.24.1981 引入了以下应用安装程序安全功能:

  • Internet 警告
  • Microsoft基于 SmartScreen 信誉的 URL 验证
  • URL 安全区域

Internet 警告

每当用户从 Internet 安装包时,应用安装程序都向用户显示警告横幅。 显示 Internet 警告时,用户应注意验证对话框上列出的源是否受信任。

显示Microsoft SmartScreen Internet 警告的屏幕截图。这是安装确认对话框。在窗格底部,带有感叹号的锁屏提醒图标旁边是一条警告,上面显示“Internet 应用程序可能会损害计算机。如果你不信任源,请不要安装此软件”。

从 Internet 上的不受信任的站点安装软件可能会有风险,并暴露给恶意软件和其他攻击。 有关详细信息,请参阅“ 保护自己免受在线骗局和攻击”

Microsoft基于 SmartScreen 信誉的 URL 验证

应用安装程序现在利用 Microsoft SmartScreen 来帮助用户在安装软件之前做出明智的解码。 在从 Internet 源下载包之前,应用安装程序将咨询Microsoft SmartScreen 的 URL 信誉服务。

显示Microsoft基于 SmartScreen 信誉的 URL 验证错误的屏幕截图。对话框的标题是“SmartScreen 验证失败!”,下面的说明文本显示“此应用程序被Microsoft Defender SmartScreen 阻止为不安全。如果选择继续,则此应用程序可能无法安全安装。

出现此错误时,用户可以选择“取消”或继续”(不建议)。

单击“继续”将允许应用安装程序打开包进行安装。

URL 安全区域

除了启用和禁用 MS-AppInstaller 协议之外,IT 专业人员现在可以阻止用户安装企业不允许的 URI 中的应用。 IT 专业人员可以从特定的 URL 安全区域禁用安装。

当用户尝试打开阻止的 URL 时,它们将显示以下对话框。

URL 安全区域错误的屏幕截图。对话框的标题显示“你的 Internet 安全设置阻止打开此文件”。下面的说明文本指出“你尝试访问的应用程序已被管理员阻止。

配置应用安装程序区域

EnableMSAppInstallerProtocol 条目 EnableMSAppInstallerProtocol 允许 IT 专业人员启用或禁用 MS-AppInstaller 协议。 启用: HKLM:\Software\Policies\Microsoft\Windows\AppInstaller EnableMSAppInstallerProtocol=1'

EnableMsixAllowedZones

如果 EnableMsixAllowedZones 已启用(设置为“1”),则可以选择替代应用安装程序是否允许安全区域。

启用: 'HKLM:\Software\Policies\Microsoft\Windows\AppInstaller" EnableMsixAllowedZones=1'

MsixAllowedZones

启用 EnableMsixAllowedZones 后,应用安装程序将寻求遵守 MsixAllowedZones 中指定的限制。 默认情况下,将拒绝 UntrustedSites 安全区域中的 URL,并允许所有其他区域。

允许区域: HKLM:\Software\Policies\Microsoft\Windows\AppInstaller\MsixAllowedZones" UntrustedSites=1

区域数据

安全区域 默认 详细信息
本地计算机 允许 设置为 “已阻止 ”将阻止安装任何本地 MSIX。
Intranet 允许 设置为“已阻止”将阻止文件下载并安装企业服务器。
受信任的站点 允许 设置为“允许”时,IT 专业人员允许特定的 Internet URI。
Internet 允许 设置为“允许”时,IT 专业人员允许限制从所有 Internet URI 安装应用。
不受信任的网站 被阻止 设置为 “已阻止”时,IT 专业人员允许阻止特定的 Internet URI。

应用安装程序 CSP 安全区域

对 URL 安全区域的应用安装程序访问权限由 DesktopAppinstaller CSP 控制。 如果应用安装程序尝试从阻止的区域加载 URL,用户将收到错误。

此图像与页面前面的 URL 安全区域错误图像相同。URL 安全区域错误的屏幕截图。对话框的标题显示“你的 Internet 安全设置阻止打开此文件”。下面的说明文本指出“你尝试访问的应用程序已被管理员阻止。

IT 专业人员可以使用 policy-csp-internetexplorer 将站点添加到受限或受信任的站点区域。 如果 URL 出现在阻止的区域中,应用安装程序将阻止安装。