Магазин додатків Windows 8 (Магазин додатків Windows) надає користувачам Windows 8 доступ до тисяч різних додатків, що містяться в цьому величезному репозитарії. Однак це, безумовно, хороше нововведення від Microsoft, створює ряд додаткових проблем системним адміністраторам. яким необхідно розуміти, що для установки програми з Windows Store в Windows 8 користувачу зовсім не обов’язково складатися в групі локальних адміністраторів. Установку додатки з магазину додатків Windows може запустити будь-який користувач авторизований в системі (в попередніх версіях ОС Windows установку додатків може запустити тільки адміністратор). Природно, на підставі даного факту адміністраторам Windows необхідно переглянути концепцію управління установкою додатків Windows Store в Windows 8 (стандартно розповсюджуваних додатків Windows типу exe, msi і т.д. це не стосується).

Додатки магазину Windows Store поширюються в спеціально розробленому форматі пакета додатка Додаток для Windows 8 ( «.Appx» – Windows Store app package). Кожен пакет APPX з метою захисту від зміни підписується цифровим підписом (всі пакети APPX повинні бути підписані, підпис перевіряється перед установкою). Перш ніж пакет в магазині Windows стає доступний для установки кінцевим користувачам, він проходить різні перевірки: перевірки антивірусом, перевірку якості і т.д. Все це повинно захистити кінцевих користувачів від установки підроблених і небезпечних додатків. Однак навіть легальні додатки Windows Store можуть створювати загрозу політикам інформаційної безпеки в компанії, або викликати конфлікт з іншими бізнес-додатками.

У цій статті ми розберемо способи блокування установки додатків з магазину Windows Store в ОС Windows 8 в корпоративному середовищі (природно, нас не цікавлять різні хакі реєстру та скрипти, що дозволяють заблокувати appx-додатки для конкретного користувача).

Повне блокування Windows Store

Найрадикальнішим методом блокування програми APPX в Windows 8 – повна заборона використання Windows Store. Його можна відключити за допомогою групової політики за методикою, описаною в статті: Як повністю відключити Windows Store в win 8. Ця спосіб найбільш простий і безпечний, але недостатньо гнучкий.

Блокування додатків Windows Store в Windows 8 за допомогою AppLocker

У тому випадку, якщо необхідно вибірково обмежити запуск додатків з магазину Windows в Windows 8, можливо скористатися технологією AppLocker (Приклад використання AppLocker для блокування додатків в Windows 7). Розширення технології AppLocker в Windows 8 дозволяє вирішувати і забороняти не тільки запуск виконуваних файлів (exe, msi, скриптів і т.д.), але і пакетів AppX. Для реалізації цієї можливості був створив спеціальний клас Правила пакетних програм, що дозволяє відстежувати і фільтрувати Windows 8 apps, грунтуючись на імені пакета, видавця або версії пакету.

В даному прикладі ми створимо політику, яка забороняє установку appx-додатки SkyDrive в Windows 8.

Примітка: Спочатку рекомендується протестувати дану політику на тестовій групі комп’ютерів, і лише потім поширити на ПК користувачів з Windows 8.

  1. Отже, нам знадобиться ПК з Windows 8, на якому вже встановлено appx додаток, яке ми хочемо заблокувати (в цьому прикладі SkyDrive). На даному комп’ютері повинен бути встановлений пакет Remote Server Administration Tools для Windows.
  2. Створимо нову групову політику з назвою “Windows8-AppLocker“І прив’яжемо її до OU (контейнера) Active Directory, в якому містяться тестові ПК з Windows 8 (відфільтрувати машини з Win 8 можна також за допомогою WMI фільтрів в групових політиках).
  3. Для коректної роботи технології AppLocker необхідно налаштувати примусовий запуск служби Ідентифікація додатка (Дозволяє осуществялть перевірку всіх файлів під час запуску). Якщо дана служба відключена, AppLocker працювати не буде. Служба знаходиться в розділі GPO Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services. Знайдемо службу Application Identity і поставимо тип запуску в автоматичний (Автоматичний).Служба Ідентифікація програми
  4. Перейдемо до налаштування параметрів AppLocker. Налаштування AppLocker знаходяться в розділі Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker. Створимо нове правило, натиснувши Налаштуйте дотримання правилПолітика applocker в windows 8
  5. Давайте включимо правила для Виправдані правила і Правила пакетних програм (галочки Налаштовано і в списку, що випадає Застосовувати правила).Включаємо applocker в windows 8
  6. Далі перш за все потрібно створити стандартні правила (Правила за замовчуванням), Тому що в іншому випадку буде заблокований запуск будь-яких додатків і нормальне завантаження комп’ютера стане неможливою. Для цього в розділах політик Виправдані правила і Правила пакетних програм в контекстному меню виберіть пункт Створіть правила за замовчуванням. Утворюються стандартні правила, які дозволяють запуск будь-яких додатків.windows 8 стандартні правила appx
  7. Далі нам потрібно створити заборонне правило для конкретного додатка. Клацніть правою кнопкою по розділу Правила пакетних програм і виберіть пункт Створити нове правило. Потім вкажемо, що створюється заборонне правило (Заперечувати), Що діє для всіх користувачів (Всім)applocker заборонне правило deny
  8. У списку встановлених додатків (ось чому настройку потрібно виконувати на Window 8 c встановленим appx SkyDrive) виберемо додаток SkyDrive.Блокування додатки skydrive в магазині microsoft store windows 8
  9. Пересунемо слайдер на позицію Назва пакета (Тим самим забороняє правило буде застосовуватися для всіх наступних версій даного AppX пакета) і натисніть Створити.Ми блокуємо програму skydrive у Windows 8
  10. В результаті в списку правил з’явиться нове забороняє правило (Дія: Заперечити)Блокування додатки skydrive з msstore в windows 8
  11. Переконався, що створена нами політика блокує запуск Appx-додатки SkyDrive. При спробі його запустити має з’являється повідомлення: Цю програму заблокував ваш системний адміністратор. Це означає, що все налаштовано правильно.Цю програму заблокував ваш системний адміністратор windows 8

Leave a Reply

Your email address will not be published. Required fields are marked *