Windows 8 App Store (магазина за приложения на Windows) дава на потребителите на Windows 8 достъп до хиляди различни приложения, съдържащи се в това огромно хранилище. Това обаче със сигурност е добра иновация от Microsoft, която създава редица допълнителни проблеми за системните администратори. които трябва да разберат, че за да инсталира приложението от Windows Store до Windows 8, потребителят не трябва да е член на групата на местните администратори. Инсталирането на приложение от магазина за приложения на Windows може да започне от всеки потребител, който влезе в системата (в предишни версии на Windows, само администратор може да инсталира приложения). Естествено, въз основа на този факт, администраторите на Windows трябва да преразгледат концепцията за управление на инсталирането на приложения за Windows Store в Windows 8 (стандартно разпространени приложения за Windows като exe, msi и др. Това не се прилага).
Приложенията на Windows Store се разпространяват във формат за персонализиран дизайн на приложения Windows 8 APPX (".Appx" - пакет за приложения за Windows Store). Всеки пакет APPX е цифрово подписан, за да се предпази от промени (всички пакети APPX трябва да бъдат подписани, подписът се проверява преди инсталирането). Преди даден пакет в магазина на Windows стане достъпен за инсталиране от крайните потребители, той преминава различни проверки: антивирусни проверки, проверки на качеството и т.н. Всичко това трябва да предпазва крайните потребители от инсталиране на фалшиви и опасни приложения. Въпреки това дори законните приложения на Windows Store могат да застрашат политиките за информационна сигурност във фирмата или да доведат до конфликт с други бизнес приложения..
В тази статия ще обсъдим начините за блокиране на инсталирането на приложения от Windows Store в Windows 8 в корпоративна среда (разбира се, не се интересуваме от различни хакове и скриптове в регистъра, които ви позволяват да блокирате приложения за приложения за конкретен потребител).
Пълно заключване на Windows Store
Най-радикалният начин за блокиране на приложение на APPX в Windows 8 е пълната забрана на използването на Windows Store. Тя може да бъде деактивирана с използване на групови правила според метода, описан в статията: Как да деактивирате напълно Windows Store при win 8. Този метод е най-простият и сигурен, но не е достатъчно гъвкав.
Блокирайте приложенията на Windows Store в Windows 8 с AppLocker
В случай, че е необходимо селективно да се ограничи стартирането на приложения от магазина на Windows в Windows 8, е възможно да се използва технологията AppLocker (пример за използване на AppLocker за блокиране на приложения в Windows 7). Разширението на AppLocker технологията в Windows 8 ви позволява да активирате и деактивирате не само изпълнението на изпълними файлове (exe, msi, скриптове и т.н.), но и пакетите на AppX. За реализирането на тази функция е създаден специален клас. Правила за пакетирано приложение, Позволява ви да проследявате и филтрирате приложения за Windows 8 въз основа на името на пакета, издателя или версията на пакета..
В този пример ще създадем политика, която забранява инсталирането на приложението SkyDrive appx на Windows 8.
забележка: Първо се препоръчва да тествате тази политика на тестова група компютри и едва след това да разпространявате потребители с Windows 8 на компютъра.- И така, имаме нужда от компютър с Windows 8, на който приложението appx, което искаме да блокираме, вече е инсталирано (в този пример SkyDrive). На този компютър трябва да бъдат инсталирани средства за отдалечено администриране на сървъри за Windows 8.
- Създайте нова групова политика, наречена „Windows8-AppLocker”И го свържете с Active Directory OU (контейнер), който съдържа тестови компютри с Windows 8 (можете да филтрирате Win 8 машини, използвайки WMI филтри в групови правила).
- За да работи правилно технологията на AppLocker, трябва да конфигурирате услугата, за да принудите да стартирате Идентичност на приложението (ви позволява да проверите всички файлове при стартиране). Ако тази услуга е деактивирана, AppLocker няма да работи. Услугата е разположена в секцията Конфигурация на GPO Computer -> Политики -> Настройки на Windows -> Настройки за защита -> Системни услуги. Намерете услугата Identity Application и задайте автоматичния тип на стартиране (автоматичен).
- Нека да преминем към конфигуриране на настройките на AppLocker. Настройките на AppLocker се намират под Конфигурация на компютъра -> Политики -> Настройки на Windows -> Настройки за защита -> Политики за управление на приложения -> AppLocker. Създайте ново правило, като щракнете върху Конфигурирайте изпълнение на правилата
- Включете правилата за Изпълними правила и Правила за пакетирано приложение (отметки конфигуриран и в падащия списък Правила за сила).
- На следващо място, първо, трябва да създадете стандартни правила (Правила по подразбиране), защото в противен случай стартирането на всякакви приложения ще бъде блокирано и нормалното зареждане на компютъра ще стане невъзможно. За да направите това, в секциите за политика Изпълними правила и Правила за пакетирано приложение изберете елемента в контекстното меню Създайте правила по подразбиране. Ще бъдат създадени стандартни правила, които да позволят стартирането на всяко приложение..
- След това трябва да създадем ограничително правило за конкретно приложение. Щракнете с десния бутон върху секцията Правила за пакетирано приложение и изберете Създайте ново правило. Тогава посочваме, че се създава ограничително правило (отричам) валидно за всички потребители (всички)
- В списъка с инсталирани приложения (ето защо трябва да конфигурирате в Windows 8 с инсталираното приложение SkyDrive), изберете приложението SkyDrive.
- Преместете плъзгача до позицията Име на пакета (по този начин правилото за забрана ще бъде приложено към всички следващи версии на този пакет AppX) и щракнете създавам.
- В резултат на това ново правило за отказ (Действие: Откажи)
- Ще се уверим, че създадената от нас политика блокира стартирането на приложението SkyDrive Appx. Когато се опитате да го стартирате, трябва да се появи съобщение: Това приложение е блокирано от вашия системен администратор. Това означава, че всичко е конфигурирано правилно..