Блокировка приложений Windows Store в Windows 8

Windows 8 App Store (магазин приложений Windows) предоставляет пользователям Windows 8 доступ к тысячам различных приложений, содержащихся в этом огромном репозитарии. Однако это, безусловно, хорошее нововведение от Microsoft, создает ряд дополнительных проблем системным администраторам.  которым необходимо понимать, что для установки приложения из Windows Store в Windows 8 пользователю совсем не обязательно состоять в группе локальных администраторов. Установку приложения из магазина приложений Windows может запустить любой пользователь авторизовавшийся в системе (в предыдущих версиях ОС Windows установку приложений может запустить только администратор). Естественно, на основании данного факта администраторам Windows необходимо пересмотреть концепцию управления установкой приложений Windows Store в Windows 8 (стандартно распространяемых приложений Windows типа exe, msi и т.д. это не касается).

Приложения магазина Windows Store распространяются в специально разработанном формате пакета приложения Windows 8 APPX («.appx» — Windows Store app package). Каждый пакет APPX с целью защиты от изменения подписывается цифровой подписью (все пакеты APPX должны быть подписаны, подпись проверяется перед установкой). Прежде чем пакет в магазине Windows становится доступен для установки конечным пользователям, он проходит различные проверки: проверки антивирусом, проверку качества и т.д. Все это должно защитить конечных пользователей от установки поддельных и опасных приложений. Однако даже легальные приложения Windows Store могут создавать угрозу политикам информационной безопасности в компании, или вызывать конфликт с другими бизнес-приложениями.

В этой статье мы разберем способы блокировки установки приложений из магазина Windows Store в ОС Windows 8 в корпоративной среде (естественно, нас не интересуют различные хаки реестра и скрипты, позволяющие заблокировать appx-приложения для конкретного пользователя).

Полная блокировка Windows Store

Самым радикальным методом блокировки приложения APPX в Windows 8 – полный запрет использования Windows Store. Его можно отключить с помощью групповой политики по методике, описанной в статье: Как полностью отключить Windows Store в win 8. Эта способ наиболее простой и безопасный, но недостаточно гибкий.

Блокирование приложений Windows Store в Windows 8 с помощью AppLocker

В том случае, если необходимо выборочно ограничить запуск приложений из магазина Windows в Windows 8, возможно воспользоваться технологией AppLocker (пример использования AppLocker для блокировки приложений в Windows 7). Расширение технологии AppLocker  в Windows 8  позволяет разрешать и запрещать не только запуск исполняемых файлов (exe, msi, скриптов и т.д.), но и пакетов AppX. Для реализации этой возможности был создал специальный класс Packaged App Rules, позволяющий отслеживать и фильтровать Windows 8 apps, основываясь на имени пакета, издателя или версии пакета.

В данном примере мы создадим политику, запрещающую установку appx-приложения SkyDrive в Windows 8.

1. Итак, нам понадобится ПК с Windows 8, на котором уже установлено appx приложение, которое мы хотим заблокировать (в этом примере SkyDrive). На данном компьютере должен быть установлен пакет Remote Server Administration Tools для Windows 8.
2. Создадим новую  групповую политику с названием “Windows8-AppLocker” и привяжем ее к OU (контейнеру) Active Directory, в котором содержатся тестовые ПК с Windows 8 (отфильтровать машины с Win 8 можно также с помощью WMI фильтров в групповых политиках).
3. Для корректной работы технологии AppLocker  необходимо настроить принудительный запуск службы Application Identity (позволяет осуществялть проверку всех файлов при запуске). Если данная служба отключена,  AppLocker работать не будет. Служба находится в разделе GPO Computer Configuration —> Policies —> Windows Settings —> Security Settings —> System Services. Найдем службу Application Identity и поставим тип запуска в автоматический (Automatic).
4. Перейдем к настройке параметров AppLocker. Настройки AppLocker находятся в разделе Computer Configuration —> Policies —> Windows Settings —> Security Settings —> Application Control Policies —> AppLocker. Создадим новое правило, нажав Configure Rule Enforcement
5. Включим правила для Excutable rules и Packaged app rules (галочки Configured и в выпадающем списке Enforce rules).
6. Далее прежде всего нужно создать стандартные правила (Default rules), т.к. в противном случае будет заблокирован запуск любых приложений и нормальная загрузка компьютера станет невозможной. Для этого в разделах политик Excutable rules и Packaged app rules в контекстном меню выберите пункт Create Default Rules. Создадутся стандартные правила, разрешающие запуск любых приложений.
7. Далее нам нужно создать запретительное правило для конкретного приложения. Щелкните правой кнопкой по разделу  Packaged app rules и выберите пункт Create New Rule. Затем укажем, что создается запретительное правило (Deny), действующее для всех пользователей (Everyone)
8. В списке установленных приложений (вот почему настройку нужно выполнять на Window 8 c установленным appx SkyDrive) выберем приложение SkyDrive.
9. Передвинем слайдер на позицию Package Name (тем самым запрещающее правило будет применяться для всех последующих версий данного AppX пакета) и нажмите Create.
10. В результате в списке правил появится новое запрещающее правило (Action:Deny)
11. Удостоверимся, что созданная нами политика блокирует запуск Appx-приложения SkyDrive. При попытке его запустить должно появляется сообщение: This app has been blocked by your system administrator. Это означает, что все настроено правильно.