应用安装程序安全功能详解
应用安装程序安全功能详解
应用安装程序(App Installer)是Windows系统中用于安装UWP应用和MSIX格式软件包的工具。从内部版本1.24.1981开始,应用安装程序引入了新的安全功能,以增强用户在安装软件时的安全性。本文将详细介绍这些安全功能及其使用方法。
Internet警告
每当用户从互联网安装软件包时,应用安装程序都会显示一个警告横幅。用户需要验证对话框上列出的源是否可信。
从不受信任的网站安装软件可能会带来安全风险,包括恶意软件和其他攻击。有关详细信息,请参阅保护自己免受在线骗局和攻击。
Microsoft SmartScreen信誉验证
应用安装程序现在利用Microsoft SmartScreen技术,在用户安装软件之前提供信誉检查服务。在从互联网源下载软件包之前,应用安装程序会咨询SmartScreen的URL信誉服务。
如果检测到潜在风险,用户将看到一个警告对话框,可以选择“取消”或“继续”(不建议)。选择“继续”将允许应用安装程序打开软件包进行安装。
URL安全区域
除了启用和禁用MS-AppInstaller协议之外,IT专业人员现在可以阻止用户安装企业不允许的URI中的应用。具体来说,IT专业人员可以从特定的URL安全区域禁用安装。
当用户尝试打开被阻止的URL时,系统将显示以下对话框:
配置应用安装程序区域
IT专业人员可以通过以下注册表项来配置应用安装程序的安全策略:
EnableMSAppInstallerProtocol:允许IT专业人员启用或禁用MS-AppInstaller协议。
启用:
HKLM:\Software\Policies\Microsoft\Windows\AppInstaller EnableMSAppInstallerProtocol=1EnableMsixAllowedZones:如果已启用(设置为“1”),则可以选择允许或禁止特定的安全区域。
启用:
'HKLM:\Software\Policies\Microsoft\Windows\AppInstaller" EnableMsixAllowedZones=1'MsixAllowedZones:在启用EnableMsixAllowedZones后,应用安装程序将根据此设置限制特定区域的URL。默认情况下,将拒绝“不受信任的网站”安全区域中的URL,并允许所有其他区域。
允许特定区域:
HKLM:\Software\Policies\Microsoft\Windows\AppInstaller\MsixAllowedZones" UntrustedSites=1
区域数据
安全区域 | 默认设置 | 详细说明 |
|---|---|---|
本地计算机 | 允许 | 设置为“已阻止”将阻止安装任何本地MSIX。 |
内部网 | 允许 | 设置为“已阻止”将阻止从企业服务器下载和安装文件。 |
受信任的站点 | 允许 | 设置为“允许”时,IT专业人员可以指定允许的Internet URI。 |
Internet | 允许 | 设置为“允许”时,IT专业人员可以控制从所有Internet URI安装应用。 |
不受信任的网站 | 被阻止 | 设置为“已阻止”时,可以阻止特定的Internet URI。 |
应用安装程序CSP安全区域
对URL安全区域的应用安装程序访问权限由DesktopAppinstaller CSP控制。如果应用安装程序尝试从被阻止的区域加载URL,用户将收到错误提示。
IT专业人员可以使用policy-csp-internetexplorer将站点添加到受限或受信任的站点区域。如果URL出现在被阻止的区域中,应用安装程序将阻止安装操作。