Windows 8 App Store (Магазин додатків Windows) надає користувачам Windows 8 доступ до тисяч різних додатків, що містяться в цьому величезному репозитарії. Однак це, безумовно, хороше нововведення від Microsoft, створює ряд додаткових проблем системним адміністраторам. яким необхідно розуміти, що для установки програми з Windows Store в Windows 8 користувачу зовсім не обов'язково складатися в групі локальних адміністраторів. Установку додатки з магазину додатків Windows може запустити будь-який користувач авторизований в системі (в попередніх версіях ОС Windows установку додатків може запустити тільки адміністратор). Природно, на підставі даного факту адміністраторам Windows необхідно переглянути концепцію управління установкою додатків Windows Store в Windows 8 (стандартно розповсюджуваних додатків Windows типу exe, msi і т.д. це не стосується).
Додатки магазину Windows Store поширюються в спеціально розробленому форматі пакета додатка Windows 8 APPX ( «.Appx» - Windows Store app package). Кожен пакет APPX з метою захисту від зміни підписується цифровим підписом (всі пакети APPX повинні бути підписані, підпис перевіряється перед установкою). Перш ніж пакет в магазині Windows стає доступний для установки кінцевим користувачам, він проходить різні перевірки: перевірки антивірусом, перевірку якості і т.д. Все це повинно захистити кінцевих користувачів від установки підроблених і небезпечних додатків. Однак навіть легальні додатки Windows Store можуть створювати загрозу політикам інформаційної безпеки в компанії, або викликати конфлікт з іншими бізнес-додатками.
У цій статті ми розберемо способи блокування установки додатків з магазину Windows Store в ОС Windows 8 в корпоративному середовищі (природно, нас не цікавлять різні хакі реєстру та скрипти, що дозволяють заблокувати appx-додатки для конкретного користувача).
Повне блокування Windows Store
Найрадикальнішим методом блокування програми APPX в Windows 8 - повна заборона використання Windows Store. Його можна відключити за допомогою групової політики за методикою, описаною в статті: Як повністю відключити Windows Store в win 8. Ця спосіб найбільш простий і безпечний, але недостатньо гнучкий.
Блокування додатків Windows Store в Windows 8 за допомогою AppLocker
У тому випадку, якщо необхідно вибірково обмежити запуск додатків з магазину Windows в Windows 8, можливо скористатися технологією AppLocker (Приклад використання AppLocker для блокування додатків в Windows 7). Розширення технології AppLocker в Windows 8 дозволяє вирішувати і забороняти не тільки запуск виконуваних файлів (exe, msi, скриптів і т.д.), але і пакетів AppX. Для реалізації цієї можливості був створив спеціальний клас Packaged App Rules, що дозволяє відстежувати і фільтрувати Windows 8 apps, грунтуючись на імені пакета, видавця або версії пакету.
В даному прикладі ми створимо політику, яка забороняє установку appx-додатки SkyDrive в Windows 8.
Примітка: Спочатку рекомендується протестувати дану політику на тестовій групі комп'ютерів, і лише потім поширити на ПК користувачів з Windows 8.- Отже, нам знадобиться ПК з Windows 8, на якому вже встановлено appx додаток, яке ми хочемо заблокувати (в цьому прикладі SkyDrive). На даному комп'ютері повинен бути встановлений пакет Remote Server Administration Tools для Windows 8.
- Створимо нову групову політику з назвою "Windows8-AppLocker"І прив'яжемо її до OU (контейнера) Active Directory, в якому містяться тестові ПК з Windows 8 (відфільтрувати машини з Win 8 можна також за допомогою WMI фільтрів в групових політиках).
- Для коректної роботи технології AppLocker необхідно налаштувати примусовий запуск служби Application Identity (Дозволяє осуществялть перевірку всіх файлів під час запуску). Якщо дана служба відключена, AppLocker працювати не буде. Служба знаходиться в розділі GPO Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services. Знайдемо службу Application Identity і поставимо тип запуску в автоматичний (Automatic).
- Перейдемо до налаштування параметрів AppLocker. Налаштування AppLocker знаходяться в розділі Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker. Створимо нове правило, натиснувши Configure Rule Enforcement
- Включимо правила для Excutable rules і Packaged app rules (галочки Configured і в списку, що випадає Enforce rules).
- Далі перш за все потрібно створити стандартні правила (Default rules), Тому що в іншому випадку буде заблокований запуск будь-яких додатків і нормальне завантаження комп'ютера стане неможливою. Для цього в розділах політик Excutable rules і Packaged app rules в контекстному меню виберіть пункт Create Default Rules. Утворюються стандартні правила, які дозволяють запуск будь-яких додатків.
- Далі нам потрібно створити заборонне правило для конкретного додатка. Клацніть правою кнопкою по розділу Packaged app rules і виберіть пункт Create New Rule. Потім вкажемо, що створюється заборонне правило (Deny), Що діє для всіх користувачів (Everyone)
- У списку встановлених додатків (ось чому настройку потрібно виконувати на Window 8 c встановленим appx SkyDrive) виберемо додаток SkyDrive.
- Пересунемо слайдер на позицію Package Name (Тим самим забороняє правило буде застосовуватися для всіх наступних версій даного AppX пакета) і натисніть Create.
- В результаті в списку правил з'явиться нове забороняє правило (Action: Deny)
- Переконався, що створена нами політика блокує запуск Appx-додатки SkyDrive. При спробі його запустити має з'являється повідомлення: This app has been blocked by your system administrator. Це означає, що все налаштовано правильно.