Windows 8 App Store (магазин приложений Windows) предоставляет пользователям Windows 8 доступ к тысячам различных приложений, содержащихся в этом огромном репозитарии. Однако это, безусловно, хорошее нововведение от Microsoft, создает ряд дополнительных проблем системным администраторам. которым необходимо понимать, что для установки приложения из Windows Store в Windows 8 пользователю совсем не обязательно состоять в группе локальных администраторов. Установку приложения из магазина приложений Windows может запустить любой пользователь авторизовавшийся в системе (в предыдущих версиях ОС Windows установку приложений может запустить только администратор). Естественно, на основании данного факта администраторам Windows необходимо пересмотреть концепцию управления установкой приложений Windows Store в Windows 8 (стандартно распространяемых приложений Windows типа exe, msi и т.д. это не касается).
Приложения магазина Windows Store распространяются в специально разработанном формате пакета приложения Windows 8 APPX («.appx» — Windows Store app package). Каждый пакет APPX с целью защиты от изменения подписывается цифровой подписью (все пакеты APPX должны быть подписаны, подпись проверяется перед установкой). Прежде чем пакет в магазине Windows становится доступен для установки конечным пользователям, он проходит различные проверки: проверки антивирусом, проверку качества и т.д. Все это должно защитить конечных пользователей от установки поддельных и опасных приложений. Однако даже легальные приложения Windows Store могут создавать угрозу политикам информационной безопасности в компании, или вызывать конфликт с другими бизнес-приложениями.
В этой статье мы разберем способы блокировки установки приложений из магазина Windows Store в ОС Windows 8 в корпоративной среде (естественно, нас не интересуют различные хаки реестра и скрипты, позволяющие заблокировать appx-приложения для конкретного пользователя).
Полная блокировка Windows Store
Самым радикальным методом блокировки приложения APPX в Windows 8 – полный запрет использования Windows Store. Его можно отключить с помощью групповой политики по методике, описанной в статье: Как полностью отключить Windows Store в win 8. Эта способ наиболее простой и безопасный, но недостаточно гибкий.
Блокирование приложений Windows Store в Windows 8 с помощью AppLocker
В том случае, если необходимо выборочно ограничить запуск приложений из магазина Windows в Windows 8, возможно воспользоваться технологией AppLocker (пример использования AppLocker для блокировки приложений в Windows 7). Расширение технологии AppLocker в Windows 8 позволяет разрешать и запрещать не только запуск исполняемых файлов (exe, msi, скриптов и т.д.), но и пакетов AppX. Для реализации этой возможности был создал специальный класс Packaged App Rules, позволяющий отслеживать и фильтровать Windows 8 apps, основываясь на имени пакета, издателя или версии пакета.
В данном примере мы создадим политику, запрещающую установку appx-приложения SkyDrive в Windows 8.
- Итак, нам понадобится ПК с Windows 8, на котором уже установлено appx приложение, которое мы хотим заблокировать (в этом примере SkyDrive). На данном компьютере должен быть установлен пакет Remote Server Administration Tools для Windows .
- Создадим новую групповую политику с названием “Windows8-AppLocker” и привяжем ее к OU (контейнеру) Active Directory, в котором содержатся тестовые ПК с Windows 8 (отфильтровать машины с Win 8 можно также с помощью WMI фильтров в групповых политиках).
- Для корректной работы технологии AppLocker необходимо настроить принудительный запуск службы Application Identity (позволяет осуществялть проверку всех файлов при запуске). Если данная служба отключена, AppLocker работать не будет. Служба находится в разделе GPO Computer Configuration —> Policies —> Windows Settings —> Security Settings —> System Services. Найдем службу Application Identity и поставим тип запуска в автоматический (Automatic).
- Перейдем к настройке параметров AppLocker. Настройки AppLocker находятся в разделе Computer Configuration —> Policies —> Windows Settings —> Security Settings —> Application Control Policies —> AppLocker. Создадим новое правило, нажав Configure Rule Enforcement
- Включим правила для Excutable rules и Packaged app rules (галочки Configured и в выпадающем списке Enforce rules).
- Далее прежде всего нужно создать стандартные правила (Default rules), т.к. в противном случае будет заблокирован запуск любых приложений и нормальная загрузка компьютера станет невозможной. Для этого в разделах политик Excutable rules и Packaged app rules в контекстном меню выберите пункт Create Default Rules. Создадутся стандартные правила, разрешающие запуск любых приложений.
- Далее нам нужно создать запретительное правило для конкретного приложения. Щелкните правой кнопкой по разделу Packaged app rules и выберите пункт Create New Rule. Затем укажем, что создается запретительное правило (Deny), действующее для всех пользователей (Everyone)
- В списке установленных приложений (вот почему настройку нужно выполнять на Window 8 c установленным appx SkyDrive) выберем приложение SkyDrive.
- Передвинем слайдер на позицию Package Name (тем самым запрещающее правило будет применяться для всех последующих версий данного AppX пакета) и нажмите Create.
- В результате в списке правил появится новое запрещающее правило (Action:Deny)
- Удостоверимся, что созданная нами политика блокирует запуск Appx-приложения SkyDrive. При попытке его запустить должно появляется сообщение: This app has been blocked by your system administrator. Это означает, что все настроено правильно.