Блокування додатків Windows Store в Windows 8

Windows 8 App Store (Магазин додатків Windows) надає користувачам Windows 8 доступ до тисяч різних додатків, що містяться в цьому величезному репозитарії. Однак це, безумовно, хороше нововведення від Microsoft, створює ряд додаткових проблем системним адміністраторам. яким необхідно розуміти, що для установки програми з Windows Store в Windows 8 користувачу зовсім не обов'язково складатися в групі локальних адміністраторів. Установку додатки з магазину додатків Windows може запустити будь-який користувач авторизований в системі (в попередніх версіях ОС Windows установку додатків може запустити тільки адміністратор). Природно, на підставі даного факту адміністраторам Windows необхідно переглянути концепцію управління установкою додатків Windows Store в Windows 8 (стандартно розповсюджуваних додатків Windows типу exe, msi і т.д. це не стосується).

Додатки магазину Windows Store поширюються в спеціально розробленому форматі пакета додатка Windows 8 APPX ( «.Appx» - Windows Store app package). Кожен пакет APPX з метою захисту від зміни підписується цифровим підписом (всі пакети APPX повинні бути підписані, підпис перевіряється перед установкою). Перш ніж пакет в магазині Windows стає доступний для установки кінцевим користувачам, він проходить різні перевірки: перевірки антивірусом, перевірку якості і т.д. Все це повинно захистити кінцевих користувачів від установки підроблених і небезпечних додатків. Однак навіть легальні додатки Windows Store можуть створювати загрозу політикам інформаційної безпеки в компанії, або викликати конфлікт з іншими бізнес-додатками.

У цій статті ми розберемо способи блокування установки додатків з магазину Windows Store в ОС Windows 8 в корпоративному середовищі (природно, нас не цікавлять різні хакі реєстру та скрипти, що дозволяють заблокувати appx-додатки для конкретного користувача).

Повне блокування Windows Store

Найрадикальнішим методом блокування програми APPX в Windows 8 - повна заборона використання Windows Store. Його можна відключити за допомогою групової політики за методикою, описаною в статті: Як повністю відключити Windows Store в win 8. Ця спосіб найбільш простий і безпечний, але недостатньо гнучкий.

Блокування додатків Windows Store в Windows 8 за допомогою AppLocker

У тому випадку, якщо необхідно вибірково обмежити запуск додатків з магазину Windows в Windows 8, можливо скористатися технологією AppLocker (Приклад використання AppLocker для блокування додатків в Windows 7). Розширення технології AppLocker в Windows 8 дозволяє вирішувати і забороняти не тільки запуск виконуваних файлів (exe, msi, скриптів і т.д.), але і пакетів AppX. Для реалізації цієї можливості був створив спеціальний клас Packaged App Rules, що дозволяє відстежувати і фільтрувати Windows 8 apps, грунтуючись на імені пакета, видавця або версії пакету.

В даному прикладі ми створимо політику, яка забороняє установку appx-додатки SkyDrive в Windows 8.

Примітка: Спочатку рекомендується протестувати дану політику на тестовій групі комп'ютерів, і лише потім поширити на ПК користувачів з Windows 8.

1. Отже, нам знадобиться ПК з Windows 8, на якому вже встановлено appx додаток, яке ми хочемо заблокувати (в цьому прикладі SkyDrive). На даному комп'ютері повинен бути встановлений пакет Remote Server Administration Tools для Windows 8.
2. Створимо нову групову політику з назвою "Windows8-AppLocker"І прив'яжемо її до OU (контейнера) Active Directory, в якому містяться тестові ПК з Windows 8 (відфільтрувати машини з Win 8 можна також за допомогою WMI фільтрів в групових політиках).
3. Для коректної роботи технології AppLocker необхідно налаштувати примусовий запуск служби Application Identity (Дозволяє осуществялть перевірку всіх файлів під час запуску). Якщо дана служба відключена, AppLocker працювати не буде. Служба знаходиться в розділі GPO Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services. Знайдемо службу Application Identity і поставимо тип запуску в автоматичний (Automatic).
4. Перейдемо до налаштування параметрів AppLocker. Налаштування AppLocker знаходяться в розділі Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker. Створимо нове правило, натиснувши Configure Rule Enforcement
5. Включимо правила для Excutable rules і Packaged app rules (галочки Configured і в списку, що випадає Enforce rules).
6. Далі перш за все потрібно створити стандартні правила (Default rules), Тому що в іншому випадку буде заблокований запуск будь-яких додатків і нормальне завантаження комп'ютера стане неможливою. Для цього в розділах політик Excutable rules і Packaged app rules в контекстному меню виберіть пункт Create Default Rules. Утворюються стандартні правила, які дозволяють запуск будь-яких додатків.
7. Далі нам потрібно створити заборонне правило для конкретного додатка. Клацніть правою кнопкою по розділу  Packaged app rules і виберіть пункт Create New Rule. Потім вкажемо, що створюється заборонне правило (Deny), Що діє для всіх користувачів (Everyone)
8. У списку встановлених додатків (ось чому настройку потрібно виконувати на Window 8 c встановленим appx SkyDrive) виберемо додаток SkyDrive.
9. Пересунемо слайдер на позицію Package Name (Тим самим забороняє правило буде застосовуватися для всіх наступних версій даного AppX пакета) і натисніть Create.
10. В результаті в списку правил з'явиться нове забороняє правило (Action: Deny)
11. Переконався, що створена нами політика блокує запуск Appx-додатки SkyDrive. При спробі його запустити має з'являється повідомлення: This app has been blocked by your system administrator. Це означає, що все налаштовано правильно.