AppLocker 中的封装应用和封装应用安装工具规则

本文介绍打包应用安装程序和打包应用的 AppLocker 规则集合。

打包的应用可以通过 Microsoft Store 安装,也可以使用 Windows PowerShell cmdlet 旁加载。 Standard用户可以安装打包的应用,这与某些经典 Windows 应用程序不同,这些应用程序有时需要管理权限才能安装。 通常,应用由多个组件组成 - 用于安装应用的安装程序以及一个或多个 exe、dll 或脚本。 对于经典 Windows 应用程序,这些组件通常不共享通用属性,例如发布者名称、产品名称和产品版本。 因此,AppLocker 必须通过不同的规则集合(exe、dll、脚本和 Windows 安装程序)分别控制其中每个组件。 相比之下,打包应用的所有组件共享相同的属性:发布者名称、包名称和包版本。 因此,可以使用单个规则控制整个应用。

AppLocker 独立于经典 Windows 应用程序强制实施打包应用的规则。 打包应用的单个 AppLocker 规则可以控制应用的安装和运行。 由于所有打包的应用都已签名,因此 AppLocker 仅支持打包应用的发布者规则。 打包应用的发布者规则基于应用的以下属性:

  • 发布者名称
  • 包名称
  • 程序包版本

总之,在策略设计中包含打包应用的 AppLocker 规则可提供:

  • 能够控制应用的安装和运行。
  • 能够使用单个规则控制应用的所有组件,而不是控制应用中的各个二进制文件。
  • 能够创建应用程序控制策略以在应用更新中幸存下来。
  • 通过组策略管理打包的应用。