Создание правила для упакованных приложений Create a rule for packaged apps
Область применения Applies to
Windows 10. Windows 10
Windows Server Windows Server
В этой статье для ИТ-специалистов показано, как создать правило AppLocker для упакованных приложений с условием издателя. This article for IT professionals shows how to create an AppLocker rule for packaged apps with a publisher condition.
Упакованные приложения, также известные как универсальные приложения для Windows, основаны на модели приложений, которая гарантирует, что все файлы в пакете приложения имеют одно удостоверение. Packaged apps, also known as Universal Windows apps, are based on an app model that ensures that all the files within an app package share the same identity. Таким образом, можно управлять всем приложением с помощью одного правила AppLocker, а не приложений без упаковки, где каждый файл в приложении может иметь уникальное удостоверение. Therefore, it is possible to control the entire app using a single AppLocker rule as opposed to the non-packaged apps where each file within the app could have a unique identity. Windows не поддерживает неподписаные упакованные приложения, что означает, что все упакованные приложения должны быть подписаны. Windows does not support unsigned packaged apps, which implies all packaged apps must be signed. AppLocker поддерживает только правила издателя для упакованных приложений. AppLocker supports only publisher rules for packaged apps. Правило издателя для упакованного приложения основано на следующих сведениях: A publisher rule for a packaged app is based on the following information:
Издатель пакета Publisher of the package
Имя пакета Package name
Версия пакета Package version
Все файлы в пакете, а также установщик пакета имеют эти атрибуты. All the files within a package as well as the package installer share these attributes. Таким образом, правило AppLocker для упакованного приложения управляет как установкой, так и запуском приложения. Therefore, an AppLocker rule for a packaged app controls both the installation as well as the running of the app. В противном случае правила издателя для упакованных приложений не отличаются от остальных коллекций правил; они поддерживают исключения, могут увеличиваться или уменьшаться в области и могут быть назначены пользователям и группам. Otherwise, the publisher rules for packaged apps are no different than the rest of the rule collections; they support exceptions, can be increased or decreased in scope, and can be assigned to users and groups.
Сведения об условии издателя см. в под условии правила издателя в AppLocker. For info about the publisher condition, see Understanding the publisher rule condition in AppLocker.
Эту задачу можно выполнить с помощью консоли управления групповыми политиками для политики AppLocker в объекте групповой политики (GPO) или с помощью оснастки «Локализованная политика безопасности» для политики AppLocker на локальном компьютере или в шаблоне безопасности. You can perform this task by using the Group Policy Management Console for an AppLocker policy in a Group Policy Object (GPO) or by using the Local Security Policy snap-in for an AppLocker policy on a local computer or in a security template. Сведения об использовании этих оснастки MMC для администрирования AppLocker см. в администрировании AppLocker. For info how to use these MMC snap-ins to administer AppLocker, see Administer AppLocker.
Создание правила упакованного приложения To create a packaged app rule
Откройте консоль AppLocker. Open the AppLocker console.
В меню действий или щелкнув правой кнопкой мышиправила упакованных приложений, выберите «Создать новое правило». On the Action menu, or by right-clicking on Packaged app Rules, select Create New Rule.
На странице «Перед началом работы» выберите «Далее». On the Before You Begin page, select Next.
На странице «Разрешения» выберите действие (разрешить или запретить) и пользователя или группу, к которые должно применяться правило, а затем выберите «Далее». On the Permissions page, select the action (allow or deny) and the user or group that the rule should apply to, and then select Next.
На странице «Издатель» можно выбрать определенную ссылку на правило упакованного приложения и установить область действия правила. On the Publisher page, you can select a specific reference for the packaged app rule and set the scope for the rule. В следующей таблице описаны справочные параметры. The following table describes the reference options.
Selection Selection
Описание Description
Пример Example
Использование установленного упакованного приложения в качестве ссылки Use an installed packaged app as a reference
Если этот вариант выбран, AppLocker требует выбора уже установленного приложения, на котором будет базой новое правило. If selected, AppLocker requires you to choose an app that is already installed on which to base your new rule. AppLocker использует издателя, имя пакета и версию пакета для определения правила. AppLocker uses the publisher, package name and package version to define the rule.
Группа продаж будет использовать только приложение Microsoft.BingMaps для внешних звонков по продажам. You want the Sales group only to use the app named Microsoft.BingMaps for its outside sales calls. Приложение Microsoft.BingMaps уже установлено на устройстве, на котором вы создаете правило, поэтому выберите этот параметр и выберите приложение из списка установленных на компьютере приложений и создайте правило с помощью этого приложения в качестве ссылки. The Microsoft.BingMaps app is already installed on the device where you are creating the rule, so you choose this option, and select the app from the list of apps installed on the computer and create the rule using this app as a reference.
Использование установщика упакованных приложений в качестве ссылки Use a packaged app installer as a reference
Если этот вариант выбран, AppLocker требует выбора установщика приложения, на котором будет базой для нового правила. If selected, AppLocker requires you to choose an app installer on which to base your new rule. Установщик упакованных приложений имеет расширение APPX. A packaged app installer has the .appx extension. AppLocker использует издателя, имя пакета и версию пакета установщика для определения правила. AppLocker uses the publisher, package name, and package version of the installer to define the rule.
Ваша компания разработала ряд внутренних бизнес-упакованных приложений. Your company has developed a number of internal line-of-business packaged apps. Установщики приложений хранятся в общем файловом хранилище. The app installers are stored on a common file share. Сотрудники могут устанавливать необходимые приложения из этой файловой папки. Employees can install the required apps from that file share. Вы хотите разрешить всем сотрудникам устанавливать приложение «Зарплата» из этой обоймы. You want to allow all your employees to install the Payroll app from this share. Чтобы создать правило, выберите этот параметр в мастере, перейдите к файловой папке и выберите установщик для приложения payroll. So you choose this option from the wizard, browse to the file share, and choose the installer for the Payroll app as a reference to create your rule.
В следующей таблице описывается настройка области для правила упакованного приложения. The following table describes setting the scope for the packaged app rule.
Selection Selection
Описание Description
Пример Example
Применимо к любому издателю Applies to Any publisher
Это наименее строгое условие области для правила «Разрешить». This is the least restrictive scope condition for an Allow rule. Это позволяет запускать или устанавливать все упакованные приложения. It permits every packaged app to run or install.
И наоборот, если это правило является правилом «Запретить», этот параметр является наиболее строгим, так как он отказано в установке или запуске всех приложений. Conversely, if this is a Deny rule, then this option is the most restrictive because it denies all apps from installing or running.
Вы хотите, чтобы группа продаж использует любое упакованное приложение от любого подписанного издателя. You want the Sales group to use any packaged app from any signed publisher. Вы задайте разрешения, чтобы разрешить группе продаж запускать любое приложение. You set the permissions to allow the Sales group to be able to run any app.
Применимо к определенному издателю Applies to a specific Publisher
Это правило опубликуется для всех приложений, опубликованных определенным издателем. This scopes the rule to all apps published by a particular publisher.
Вы хотите разрешить всем пользователям устанавливать приложения, опубликованные издателем Microsoft.BingMaps. You want to allow all your users to install apps published by the publisher of Microsoft.BingMaps. Можно выбрать Microsoft.BingMaps в качестве ссылки и выбрать область действия правила. You could select Microsoft.BingMaps as a reference and choose this rule scope.
Применяется к имени пакета Applies to a Package name
В этом случае правило будет занося в область действия всех пакетов, которые совместно имеют имя издателя и имя пакета в качестве эталонного файла. This scopes the rule to all packages that share the publisher name and package name as the reference file.
Вы хотите разрешить группе продаж устанавливать любую версию приложения Microsoft.BingMaps. You want to allow your Sales group to install any version of the Microsoft.BingMaps app. Вы можете выбрать приложение Microsoft.BingMaps в качестве ссылки и выбрать область действия правила. You could select the Microsoft.BingMaps app as a reference and choose this rule scope.
Применимо к версии пакета Applies to a Package version
При этом правило занося в определенную версию пакета. This scopes the rule to a particular version of the package.
Вы хотите быть очень выборочными в том, что вы разрешаете. You want to be very selective in what you allow. Вы не хотите неявно доверять всем будущим обновлениям приложения Microsoft.BingMaps. You do not want to implicitly trust all future updates of the Microsoft.BingMaps app. Область действия правила можно ограничить версией приложения, установленного на компьютере-источнике. You can limit the scope of your rule to the version of the app currently installed on your reference computer.
Применение пользовательских значений к правилу Applying custom values to the rule
Если выбрано значение «Использовать настраиваемые значения», можно настроить поля области в зависимости от конкретного обстоятельства. Selecting the Use custom values check box allows you to adjust the scope fields for your particular circumstance.
Вы хотите разрешить пользователям устанавливать все приложения Microsoft.Bing\*, в том числе Microsoft.BingMaps, Microsoft.BingWeather, Microsoft.BingMoney. You want to allow users to install all Microsoft.Bing\* applications, which include Microsoft.BingMaps, Microsoft.BingWeather, Microsoft.BingMoney. Вы можете выбрать Microsoft.BingMaps в качестве ссылки, использовать настраиваемые значения и изменить поле имени пакета, добавив в качестве имени пакета «Microsoft.Bing\*». You can choose the Microsoft.BingMaps as a reference, select the Use custom values check box and edit the package name field by adding “Microsoft.Bing\*” as the Package name.
Выберите Далее. Select Next.
(Необязательно) На странице «Исключения» укажите условия, при которых файлы не будут затронуты правилом. (Optional) On the Exceptions page, specify conditions by which to exclude files from being affected by the rule. Это позволяет добавлять исключения на основе заданных ранее образца и области действия правила. This allows you to add exceptions based on the same rule reference and rule scope as you set before. Выберите Далее. Select Next.
На странице «Имя» примите автоматически созданные имена правил или введите новое имя правила, а затем выберите «Создать». On the Name page, either accept the automatically generated rule name or type a new rule name, and then select Create.
Найдено решение проблемы с Почтой и другими приложениями в Win 10 bild 240 после обновлений
Если кого то пугает такой объём информации, перейдите в конец этого сообщения и прочитайте пункт 9 на всякий случай)
Проблема всем известна на релизном билде 240. Почта, календарь, люди — после запуска сразу закрываются, или почта не синхронизируется. Видел что в некоторых вопросах пользователи выкладывают скриншоты открытой пустой почты и с удивлением — почему почта не синхронизируется или не работает. Не забывайте в первую очередь проверять включены ли все пункты в настройках «параметры-конфиденциальность». Но это не решение конечно.
Одни пользователи рассказывают что у кого-то почта работает если делать чистую установку, а у других наоборот после перехода с win 7, win 8. Всё это временное явление и в итоге эти приложения перестают работать после установки обновлений. Так же могут переставать работать другие стандартные приложения и появляются дополнительные ошибки в журнале, после обновлений приложений через магазин, а не только через центр обновлений.
Сам перешёл на Win 10 с Win 8.1, сразу же накатил обновления и почта перестала работать, после сделал чистую установку и та же ситуация. Решил разобраться в данной проблеме, для тестов у меня как раз был отдельный HDD. К счастью со схожими проблемами сталкивался на Win 8.1, поэтому решение нашлось быстро.
Как известно проблема заключается в кривости устанавливаемых «кумулятивных обновлений безопасности», ну или кривости их установки утверждать не могу. Но понял одно, что при установки обновлений повреждаются записи разрешений безопасности в реестре, которые необходимо восстановить и так же заметил что некоторые папки с файлами на системном разделе не имеют установленных разрешений. Решил проблему 10 января, а время написать это решение появилось только сейчас, так что если кому-то и поможет это — то буду рад.
1. Устанавливаем систему, перед установкой желательно отключить кабель интернета. На экране создания первого профиля создаём локальный профиль с произвольным названием. Когда система загрузится не тратим время на настройку профиля, кабель интернета уже нужно подключить.
2. Заходим в магазин-загрузки и устанавливаем все обновления приложений. Заходим в Параметры-Обновление и безопасность, в доп. параметрах ставим галочку на получение обновлений для других продуктов Microsoft и обновляемся.
3. Запускаем через «Выполнить» «lusrmgr.msc» , вкладка «Пользователи» и включаем встроенную учётную запись администратора «Администратор». Выходим из вашей первой учётной записи и входим на Администратора. Всё дальнейшие команды будем выполнять через «Выполнить» и без кавычек.
4. Выполняем «systempropertiesadvanced» заходим в «параметры» пункта «Профили пользователей», удаляем вашего первого временного пользователя, проверяем чтоб его не осталось в «lusrmgr.msc» и «control userpasswords2». Удалять эту учётную запись необходимо для сохранения свободного пространства на диске. Оставлять её нет смысла, так как я не нашёл способа как сделать чтоб она заработала даже после применения исправлений моим методом.
5. Теперь в окне «lusrmgr.msc» создаём нового пользователя с уже нормальным названием, под которым будете работать. В свойствах так же можете указать членство в группах, а в «shell. <60632754-c523-4b62-b45c-4172da012619>\pageAdminTasks» можно изменить тип учётной записи.
6. Запускаем коммандную строку и выполняем все эти комманды «Dism /Online /Cleanup-image /Scanhealth», если хранилище повреждено то выполняем «Dism /Online /Cleanup-Image /RestoreHealth», если восстановить хранилище не получилось то читаем статью по восстановлению. Если всё в порядке то выполняем «SFC /Scannow».
7. Восстанавливаем разрешения на файлы на системном диске. Заходим в свойства вашего системного диска, безопасность-дополнительно., в поле владельца заменяем его на Администратора и не забываем ставить галочку на поле «Заменить владельца подконтейнеров и объектов», нажимаем «Ок» во всех окнах. Теперь открываем эти окна заново, не изменяя владельца удаляем все элементы разрешений, далее нажимаем добавить и добавляем следующие по списку субъекты с полными правами доступа: LOCAL SERVICE, NETWORK SERVICE, Администратор, Администраторы, «Ваш новый созданный профиль», Все, ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ, Гости, ГРУППА-СОЗДАТЕЛЬ, Локальная учетная запись и **** группы «Администраторы», ПАКЕТНЫЕ ФАЙЛЫ, Пользователи, ПРАВА ВЛАДЕЛЬЦА, Прошедшие проверку, СИСТЕМА, СЛУЖБА, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, NT SERVICE\TrustedInstaller. Так же ставим галочку на пункт «Заменить все записи разрешений дочернего объекта наследуемые от этого объекта» и нажимаем применить. Теперь меняем владельца на NT SERVICE\TrustedInstaller не забывая про «Заменить владельца подконтейнеров и объектов». Перезагружаемся заходя снова на администратора.
8. Восстанавливаем разрешения на ветки реестра практически по такому же принципу как и в предыдущем пункте, но не меняя владельца. Выполняем «regedit», заходим в разрешения ветки HKEY_LOCAL_MACHINE, в дополнительных параметрах удаляем все элементы разрешений кроме субъекта «ОГРАНИЧЕННЫЕ», устанавливаем всем полный доступ и добавляем те-же субъекты что в п.7 и галочку на пункт «Заменить все записи разрешений дочернего объекта наследуемые от этого объекта». Проделываем тоже самое с веткой HKEY_USERS. Проверяем ветки HKEY_CURRENT_CONFIG, HKEY_CURRENT_USER, HKEY_CLASSES_ROOT они должны были унаследовать все эти разрешения, если нет то можно попытаться включить наследование, в противном случае так же добавлять в ручную. Теперь перезагружаемся и входим в свою новую учётную запись которую создавали.
9. Теперь остаётся только войти в учётную запись Майкрософт, ну и по желанию выключить запись Администратора которую включали (её можно было настроить и удалять локальное хранилище не рекомендую — так как она ещё может понадобиться).
Важно:
1. Если вы не планируете переустанавливать систему то переходите к пункту 2 или 3.
2. Некоторым пользователям может быть достаточным проуска п.7, а в п.8 установки разрешения на все корневые ключи реестра только одного субъекта «ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ», но без пункта «Заменить все записи разрешений дочернего объекта наследуемые от этого объекта»
3. п.4 и п.5 может не понадобиться тем, кто уже пересоздавал пользователя.
4. Так как именно из за «кумулятивных обновлений безопасности» первый созданный профиль приходиться удалять и заменять на другой, нет гарантий что со следующим подобным обновлением с вашим провилем не случится тоже самое, и не прийдётся повторять всё начиная с п.3.
5. Обновление приложений из «магазина» так же может испортить работу ваших встроенных приложений, но мне удавалось вернуть работоспособность повторив всё с п.8.
6. Понимаю что безопасность сильно снижается от добавления такого огромного количества пользователей в разрешения безопасности с полным доступом, но достичь положительных результатов в работе системы и приложений другими способами у меня не получается. К тому же хороший антивирус у меня покрывает данный недостаток.
7. Не спешите делать вывод о работоспособности данного метода не проделав поэтапно все действия начиная с п.2.
8. Если вы проводили какие либо манипуляции сторонними программами или сами ковырялись в реестре, то рекомендую начать с п.1.
9. В других темах есть решения данной проблемы путём удаления обновлений или самих встроенных приложений, но я не вижу для себя это рациональным и разумным. Так как в первом случае это отказ от системных исправлений, во втором случае это отказ от функционала системы. Поэтому кому данный способ кажется трудоёмким и не по нарву, советую даже не тратить своё время на написание комментариев.
