Windows 8 App Store (sklep z aplikacjami dla systemu Windows) zapewnia użytkownikom systemu Windows 8 dostęp do tysięcy różnych aplikacji zawartych w tym ogromnym repozytorium. Jest to jednak z pewnością dobra innowacja firmy Microsoft, która stwarza szereg dodatkowych problemów dla administratorów systemu. którzy muszą zrozumieć, że aby zainstalować aplikację ze Sklepu Windows do Windows 8, użytkownik nie musi być członkiem lokalnej grupy administratorów. Instalowanie aplikacji ze sklepu z aplikacjami Windows może rozpocząć każdy użytkownik logujący się do systemu (w poprzednich wersjach systemu Windows tylko administrator mógł instalować aplikacje). Oczywiście w oparciu o ten fakt administratorzy systemu Windows muszą zrewidować koncepcję zarządzania instalacją aplikacji ze Sklepu Windows w systemie Windows 8 (standardowe aplikacje Windows, takie jak exe, msi itp., Nie mają zastosowania).
Aplikacje ze Sklepu Windows są dystrybuowane w specjalnie zaprojektowanym formacie pakietu aplikacji Windows 8 APPX („.Appx” - pakiet aplikacji Sklepu Windows). Każdy pakiet APPX jest podpisany cyfrowo w celu ochrony przed zmianami (wszystkie pakiety APPX muszą być podpisane, podpis jest weryfikowany przed instalacją). Zanim pakiet w sklepie Windows stanie się dostępny do instalacji przez użytkowników końcowych, przechodzi on różne kontrole: kontrole antywirusowe, kontrole jakości itp. Wszystko to powinno chronić użytkowników końcowych przed instalacją fałszywych i niebezpiecznych aplikacji. Jednak nawet legalne aplikacje ze Sklepu Windows mogą stanowić zagrożenie dla zasad bezpieczeństwa informacji w firmie lub powodować konflikt z innymi aplikacjami biznesowymi..
W tym artykule omówimy sposoby blokowania instalacji aplikacji ze Sklepu Windows w systemie Windows 8 w środowisku korporacyjnym (oczywiście nie interesują nas różne hacki rejestru i skrypty, które umożliwiają blokowanie aplikacji Appx dla konkretnego użytkownika).
Pełna blokada sklepu Windows
Najbardziej radykalnym sposobem na zablokowanie aplikacji APPX w systemie Windows 8 jest całkowite zablokowanie korzystania ze Sklepu Windows. Można go wyłączyć za pomocą Zasad grupy zgodnie z metodą opisaną w artykule: Jak całkowicie wyłączyć Sklep Windows w Win 8. Ta metoda jest najprostsza i najbezpieczniejsza, ale niewystarczająco elastyczna.
Blokuj aplikacje ze Sklepu Windows w Windows 8 za pomocą AppLocker
W przypadku, gdy konieczne jest selektywne ograniczenie uruchamiania aplikacji ze sklepu Windows w Windows 8, można skorzystać z technologii Applocker (przykład użycia AppLocker do blokowania aplikacji w Windows 7). Rozszerzenie technologii AppLocker w Windows 8 umożliwia włączanie i wyłączanie nie tylko wykonywania plików wykonywalnych (exe, msi, skryptów itp.), Ale także pakietów AppX. Aby zaimplementować tę funkcję, utworzono specjalną klasę. Reguły aplikacji w pakiecie, Umożliwia śledzenie i filtrowanie aplikacji systemu Windows 8 na podstawie nazwy pakietu, wydawcy lub wersji pakietu..
W tym przykładzie utworzymy zasadę, która zabrania instalacji aplikacji SkyDrive appx w systemie Windows 8.
Uwaga: Po pierwsze, zalecane jest przetestowanie tej zasady na testowej grupie komputerów, a dopiero potem dystrybucja użytkowników z Windows 8 na PC.- Potrzebujemy komputera z systemem Windows 8, na którym aplikacja appx, którą chcemy zablokować, jest już zainstalowana (w tym przykładzie SkyDrive). Na tym komputerze muszą być zainstalowane narzędzia administracji zdalnej serwera dla systemu Windows 8.
- Utwórz nową zasadę grupy o nazwie „Windows8-AppLocker”I powiąż go z OU usługi Active Directory (kontener), która zawiera testowe komputery z systemem Windows 8 (możesz filtrować komputery z systemem Windows 8 przy użyciu filtrów WMI w zasadach grupy).
- Aby technologia AppLocker działała poprawnie, należy skonfigurować usługę, aby wymusić uruchomienie Tożsamość aplikacji (pozwala sprawdzić wszystkie pliki przy uruchomieniu). Jeśli ta usługa jest wyłączona, AppLocker nie będzie działać. Usługa znajduje się w sekcji Konfiguracja komputera GPO -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Usługi systemowe. Znajdź usługę Tożsamość aplikacji i ustaw typ uruchamiania na automatyczny (Automatyczne).
- Przejdźmy do konfigurowania ustawień AppLocker. Ustawienia AppLocker znajdują się w Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady kontroli aplikacji -> AppLocker. Utwórz nową regułę, klikając Skonfiguruj wymuszanie reguł
- Włącz zasady dla Wymierne zasady i Reguły aplikacji w pakiecie (znaczniki wyboru Skonfigurowany i na liście rozwijanej Wymuszaj reguły).
- Następnie przede wszystkim musisz utworzyć standardowe reguły (Domyślne reguły), ponieważ w przeciwnym razie uruchomienie dowolnej aplikacji zostanie zablokowane, a normalne ładowanie komputera stanie się niemożliwe. Aby to zrobić, w sekcjach zasad Wymierne zasady i Reguły aplikacji w pakiecie wybierz element z menu kontekstowego Utwórz domyślne reguły. Zostaną utworzone standardowe reguły umożliwiające uruchomienie dowolnej aplikacji..
- Następnie musimy utworzyć regułę ograniczającą dla konkretnej aplikacji. Kliknij sekcję prawym przyciskiem myszy Reguły aplikacji w pakiecie i wybierz Utwórz nową regułę. Następnie wskazujemy, że tworzona jest reguła ograniczająca (Zaprzecz) ważne dla wszystkich użytkowników (Wszyscy)
- Z listy zainstalowanych aplikacji (dlatego musisz skonfigurować w Windows 8 z zainstalowaną aplikacją SkyDrive), wybierz aplikację Skydrive.
- Przesuń suwak do pozycji Nazwa paczki (w ten sposób reguła zakazu zostanie zastosowana do wszystkich kolejnych wersji tego pakietu AppX) i kliknij Utwórz.
- W rezultacie nowa reguła odmowy (Działanie: Odmów)
- Upewnij się, że stworzone przez nas zasady blokują uruchomienie aplikacji SkyDrive Appx. Podczas próby uruchomienia powinien zostać wyświetlony komunikat: Ta aplikacja została zablokowana przez administratora systemu. Oznacza to, że wszystko jest poprawnie skonfigurowane..