创建封装应用规则

适用于

  • Windows 10
  • Windows 11
  • Windows Server 2016 和更高版本

备注

应用程序控制Windows Defender仅在特定版本上Windows功能。 详细了解应用程序Windows Defender功能可用性

本文针对 IT 专业人员介绍了如何为具有发布者条件的封装应用创建 AppLocker 规则。

封装应用(也称为通用Windows应用)基于确保应用包内的所有文件共享同一标识的应用模型。 因此,可以控制整个应用使用单个 AppLocker 规则,而不是非打包应用,其中应用内的每个文件可能都有唯一标识。 Windows不支持未签名的封装应用,这意味着必须签署所有打包的应用。 AppLocker 仅支持封装应用的发布者规则。 已打包应用的发布者规则基于以下信息:

  • Publisher包的
  • 程序包名称
  • 程序包版本

程序包内的所有文件和程序包安装程序共享这些属性。 因此,已打包应用的 AppLocker 规则将控制应用的安装和运行。 否则,打包应用的发布者规则与规则集合的其余部分相同;它们支持例外,在作用域中可以增加或减少,并且可分配给用户和组。

有关发布者条件的信息,请参阅了解 AppLocker 中的发布者规则条件

可以通过对组策略对象 (GPO) 中的 AppLocker 策略使用组策略管理控制台,或者在本地计算机或安全模板中对 AppLocker 策略使用本地安全策略管理单元来执行此任务。 有关如何使用这些 MMC 管理单元管理 AppLocker 的信息,请参阅管理 AppLocker。

创建封装应用规则

  1. 打开 AppLocker 控制台。

  2. 在"操作" 菜单上,或右键单击封装应用规则,选择 "新建规则"。

  3. 在"开始之前"页上, 选择"下一步"。

  4. 在"权限" 页上, (允许或拒绝) 规则应用于的用户或组,然后选择"下一步"。

  5. "Publisher" 页上,可以选择打包应用规则的特定引用,并设置规则的范围。 下表介绍了参考选项。

    选择 说明 示例

    使用已安装的封装应用作为参考

    如果选中,AppLocker 将要求你选择已安装的应用作为新规则的基础。 AppLocker 使用发布者、程序包名称和程序包版本来定义规则。

    您希望销售组仅将名为 Microsoft.BingMaps 的应用用于其外部销售呼叫。 Microsoft.BingMaps 应用已安装在要创建规则的设备上,因此请选择此选项,然后从计算机上安装的应用列表中选择该应用,然后使用此应用作为参考创建规则。

    使用封装应用安装程序作为参考

    如果选中,AppLocker 将要求你选择应用安装程序,以作为新规则的基础。 打包的应用安装程序具有 .appx 扩展。 AppLocker 使用发布者、程序包名称和程序包版本的安装程序来定义规则。

    你的公司已经开发了许多内部业务线封装应用。 应用安装程序存储在常见文件共享中。 员工可以从该文件共享安装所需的应用。 你想要允许所有员工从此共享安装 Payroll 应用。 因此,从向导中选择此选项,浏览到文件共享,然后选择 Payroll 应用的安装程序作为创建规则的参考。

    下表介绍了如何设置封装应用规则的范围。

    选择 说明 示例

    适用于任何 发布者

    这是允许规则限制最少的范围 条件。 它允许运行或安装每个封装的应用。

    相反,如果这是拒绝规则,则此选项的限制最严格,因为它拒绝安装 或运行所有应用。

    希望销售组使用来自任何已签名发布者的任何封装应用。 你可以设置权限以允许销售组运行任何应用。

    适用于 特定Publisher

    这会将规则范围缩小到由特定发布者发布的所有应用。

    您希望允许所有用户安装由 Microsoft.BingMaps 发布者发布的应用。 可以选择 Microsoft.BingMaps 作为引用并选择此规则范围。

    适用于程序包 名称

    这会将规则范围缩小到将发布者名称和程序包名称共享为引用文件的所有程序包。

    您希望允许 Sales 组安装任何版本的 Microsoft.BingMaps 应用。 可以选择 Microsoft.BingMaps 应用作为参考并选择此规则范围。

    适用于程序包 版本

    这会将规则范围缩小到程序包的特定版本。

    您希望在允许的方面非常有选择性。 您不希望隐式信任 Microsoft.BingMaps 应用的所有未来更新。 你可以将规则的范围限制为引用计算机上当前安装的应用版本。

    向规则应用自定义值

    选中 "使用自定义值 "复选框可针对您的特定环境调整范围字段。

    您希望允许用户安装所有 Microsoft。必应*应用程序,包括 Microsoft.BingMaps、Microsoft.BingWeather、Microsoft.BingMoney。 可以选择 Microsoft.BingMaps 作为引用,选中"使用自定义值"复选框,然后通过添加 "Microsoft.必应*"作为程序包名称来编辑程序包名称字段。

  6. 选择下一步

  7. (可选) 在"例外"页上,指定排除**** 受规则影响的文件的条件。 这允许你添加基于与以前设置相同的规则引用和规则范围的例外。 选择下一步

  8. 在"名称"页上,接受自动生成的规则名称或键入新规则名称,然后选择"创建 "。