|
在网络上隔离 Microsoft Store 应用 2017/10/13
本文内容适用范围
- Windows 10
- Windows Server 2016
将新设备添加到网络时, 你可能需要使用高级安全配置自定义 Windows Defender 防火墙, 以隔离在其上运行的新 Microsoft Store 应用的网络访问。 构建 Microsoft Store 应用的开发人员可以声明特定的应用功能, 从而实现不同类别的网络访问。 开发人员可以确定应用需要哪种类型的网络访问权限, 并为应用配置此功能。 在设备上安装应用时, 系统会自动创建相应的防火墙规则以启用访问。 然后, 如果需要对应用的网络访问权限进行更多控制, 则可以自定义防火墙配置以进一步微调此访问权限。
例如, 开发人员可以确定其应用应仅连接到受信任的本地网络 (如家庭或工作), 而不应连接到 Internet。 通过这种方式, 开发人员可以为其应用定义网络访问的范围。 如果尚未为该应用配置连接, 此网络隔离将阻止应用访问网络和连接类型 (入站或出站)。 然后, 网络管理员可以自定义防火墙以进一步限制该应用可以访问的资源。
设置和强制使用这些网络边界可确保受到危害的应用只能访问已明确授予访问权限的网络。 这将显著减少其对其他应用、设备和网络的影响的范围。 此外, 可以从网络中隔离和保护应用免遭恶意访问。
创建新的 Microsoft Store 应用时, 开发人员可以为其应用定义以下网络功能:
- Home\Work 网络
提供对 intranet 网络的入站和出站访问权限, 用户已指定为家庭或工作网络, 或者如果网络具有已验证的域控制器。 - Internet (客户端)
提供对 Internet 和不受信任的网络 (如机场和咖啡店) 的出站访问权限 (例如, 用户已将网络指定为公共网络的 intranet 网络)。 多数需要进行 Internet 访问的应用都应使用此功能。 - Internet (客户端和服务器)
提供对 Internet 和不受信任网络 (如机场和咖啡店) 的入站和出站访问。 此功能是internet (客户端) 功能的超集, 如果启用此功能, 则无需启用Internet (客户端) 。 - 邻近感应
通过与设备紧密邻近的设备提供近距离通信 (NFC)。 邻近感应可用于发送文件或连接到 proximate 设备上的应用程序。
本主题内容
若要将 Microsoft Store 应用隔离到你的网络, 你需要使用组策略来定义你的网络隔离设置并创建自定义 Microsoft Store 应用防火墙规则。
系统必备- 您的网络上安装了域控制器, 并且您的设备已加入到 Windows 域。
- 客户端设备上安装了 Microsoft Store 应用。
- 远程服务器管理工具 (RSAT) 安装在客户端设备上。 从客户端设备执行以下步骤时, 你可以在创建 Windows Defender 防火墙规则时选择 Microsoft Store 应用。
注意: 您可以从Microsoft 下载中心在运行 Windows 10 的设备上安装 RSAT。
步骤 1: 定义网络Home\Work 网络功能允许访问 intranet 资源。 管理员可以使用组策略设置来定义 intranet 的范围。 这可确保 Microsoft Store 应用可以相应地访问 intranet 资源。
在以下情况中, 网络终结点被视为Home\Work 网络的一部分:
- 它是受信任的网络的本地子网的一部分。
例如, 家庭用户通常将其网络标记为 "受信任"。 将指定本地设备。 - 设备在网络上, 并且通过身份验证到域控制器。
- Intranet 地址空间中的终结点被视为 "专用"。
- 本地子网中的终结点被视为专用。
- 为 DirectAccess 配置设备, 终结点是 intranet 地址空间的一部分。
Intranet 地址空间由配置的 Active Directory 站点和子网组成, 并且它是使用组策略专门针对 Windows 网络隔离进行配置的。 你可以通过使用组策略声明你的子网定义具有权威性, 禁用 Active Directory 站点和子网的使用。
你配置的任何代{过}{滤}理或自动使用代{过}{滤}理自动配置 (使用 Web 代{过}{滤}理自动发现 (WPAD) 协议) 配置的代{过}{滤}理都将从 intranet 区域中删除。 可以使用组策略添加代{过}{滤}理地址。
不符合以前所述条件的所有其他终结点被视为 Internet 上的终结点。
配置定义 intranet 地址空间的 GPO
- 打开 "组策略管理" 管理单元 (gpmc), 右键单击要用于定义地址空间的组策略, 然后选择 "编辑"。
- 从组策略管理编辑器中, 依次展开 "计算机配置"、"策略"、"管理模板"、"网络", 然后单击 "网络隔离"。
- 在右窗格中, 双击 "应用" 的 "专用网络范围"。
- 在 "应用的专用网络范围" 对话框中, 单击 "已启用"。 在 "专用子网" 文本框中, 键入 intranet 的专用子网, 如有必要, 请用逗号分隔。
例如, 如果 Contoso intranet 定义为子网掩码为255.255.255.0 的 10.0.0.0, 则在 "专用子网" 文本框中键入 10.0.0.0/24。 - 双击 "子网定义" 是权威的。
如果您希望以前创建的子网定义是子网定义的单个源, 请单击 "已启用"。 否则, 保留未配置的默认值, 以便你可以使用本地设置或网络隔离试探法添加其他子网。
配置 intranet 和 Internet 的代{过}{滤}理地址
- 双击 "适用于应用的 Internet 代{过}{滤}理服务器"。 单击 "已启用", 然后在 "域代{过}{滤}理" 文本框中, 键入您的 INTERNET 代{过}{滤}理服务器的 IP 地址, 用分号分隔。
- 双击应用的 "Intranet 代{过}{滤}理服务器"。 单击 "已启用", 然后在 "IP 地址" 文本框中, 键入 intranet 代{过}{滤}理服务器的 IP 地址, 用分号分隔。
- 双击 "代{过}{滤}理服务器定义" 是权威性的。
如果你希望以前创建的代{过}{滤}理定义是你的代{过}{滤}理定义的单个源, 请单击 "已启用"。 否则, 保留未配置的默认值, 以便你可以使用本地设置或网络隔离试探法添加其他代{过}{滤}理。
步骤 2: 创建自定义防火墙规则除了前面讨论的网络功能之外, Microsoft Store 应用还可以声明许多功能。 例如, 应用可以声明访问用户标识、本地文件系统和某些硬件设备的功能。
下表提供了可能的应用功能的完整列表。
[td]| 功能 | 名称 | 说明 | | Internet (客户端) | internetClient | 您的传出 Internet 连接。 | | Internet(客户端 & 服务器) | internetClientServer | 您的 Internet 连接 (包括来自 Internet 的传入未经请求的连接) 应用可以通过防火墙向设备或从您的设备发送信息。 如果声明了此功能, 则无需声明internetClient 。 | | Home\Work 网络 | privateNetworkClientServer | 家庭或工作网络。 应用可以向您的设备和同一网络上的其他设备发送信息。 | | 文档库访问 | documentsLibrary | 文档库, 包括添加、更改或删除文件的功能。 该包只能访问清单中声明的文件类型。 | | 图片库访问 | picturesLibrary | 您的图片库, 包括添加、更改或删除文件的功能。 | | 视频库访问 | videosLibrary | 您的视频库, 包括添加、更改或删除文件的功能。 | | 音乐库访问 | musicLibrary | 您的音乐库, 包括添加、更改或删除文件的功能。 | | 默认 Windows 凭据 | defaultWindowsCredentials | 用于访问公司 intranet 的 Windows 凭据。 此应用程序可以在网络上模拟你。 | | 可移动存储 | removableStorage | 可移动存储设备 (如外部硬盘、USB 闪存驱动器或 MTP 便携设备), 包括添加、更改或删除特定文件的功能。 此程序包只能访问清单中声明的文件类型。 | | 共享用户证书 | sharedUserCertificates | 软件和硬件证书或智能卡, 应用用于标识你。 雇主、银行或政府服务可使用此功能标识您。 | | 位置 | location | 允许访问用户的当前位置。 | | 麦克风 | 麦克风 | 提供对麦克风音频源的访问。 | | 接近现场的邻近感应 | proximity | 在接近的设备之间的近距离通信 (NFC) 中需要。 NFC 可用于在 proximate 设备上发送文件或连接到应用。 | | 短信 | 短信 | 提供对短信功能的访问。 | | 摄像头 | 网络摄像头 | 提供网络摄像头视频源的访问权限。 | | 其他设备 (由 Guid 表示) | <GUID> | 包括专用设备和 Windows 便携设备。 |
你可以创建适用于一组应用的 Windows Defender 防火墙策略, 该策略使用指定的功能或应用范围到特定 Microsoft Store 应用。
例如, 你可以创建 Windows Defender 防火墙策略来阻止你的网络上具有文档库功能的任何应用的 Internet 访问。
阻止网络上具有文档库功能的任何应用的 Internet 访问
- 打开 "组策略管理" 管理单元 (gpmc)。
- 在左窗格中, 右键单击您的域名, 然后单击 "在此域中创建 GPO" 并在此处链接。
- 在 "名称" 文本框中键入 GPO 的名称, 然后单击 "确定"。
- 右键单击新的 GPO, 然后单击 "编辑"。
- 在组策略管理编辑器中, 依次展开 "计算机配置"、"策略"、" Windows 设置"、"安全设置"、"高级安全 Windows Defender 防火墙" 和 "Windows Defender 防火墙-LDAP://
- 右键单击出站规则,然后单击新建规则。
- 单击 "自定义", 然后单击 "下一步"。
- 单击 "程序" 页面、"协议和端口" 页面以及 "作用域" 页面上的 "下一步"。
- 在 "操作" 页面上, 确保已选中 "阻止连接" , 然后单击 "下一步"。
- 在 "个人资料" 页面上, 单击 "下一步"。
- 在 "名称" 页面上, 键入规则的名称, 然后单击 "完成"。
- 在右窗格中, 右键单击新规则, 然后单击 "属性"。
- 单击 "本地主体" 选项卡, 选中 "仅允许来自这些用户的连接" 复选框, 然后单击 "添加"。
- 单击 "应用程序包属性", 然后单击 "确定"。
- 在 "选择功能" 对话框中, 单击 "应用程序包 AUTHORITY\Your 文档库", 然后单击 "确定"。
- 单击 "远程 IP 地址" 下的 "范围" 选项卡, 然后单击 "添加"。
- 单击 "预定义的计算机集", 选择 " Internet", 然后单击 "确定"。
这将作用于阻止到 Internet 设备的流量的规则。 - 单击 "程序和服务" 选项卡, 然后在 "应用程序包" 区域中, 单击 "设置"。
- 单击 "仅应用于应用程序包", 然后单击 "确定"。
重要提示: 必须执行此操作, 以确保规则仅适用于 Microsoft Store 应用, 而不适用于其他应用。 默认情况下, 桌面应用将声明所有功能, 如果不以这种方式配置, 则此规则将应用于这些功能。
- 单击 "确定" 关闭 "属性" 对话框。
- 关闭“组策略管理编辑器”。
- 在 "组策略管理" 管理单元中, 确保已选中新的 GPO, 在右窗格中的 "安全筛选" 下, 选择 "经过身份验证的用户"。 单击 "删除", 然后单击 "确定"。
- 在 "安全筛选" 下, 单击 "添加"。
- 在文本框中键入 "域计算机", 然后单击 "确定"。
- 关闭 "组策略管理" 管理单元。
如果你希望阻止 intranet 访问你的网络上的特定媒体共享应用, 请使用以下过程。
阻止网络上特定媒体共享应用的 intranet 访问
- 打开 "组策略管理" 管理单元 (gpmc)。
- 在左窗格中, 右键单击您的域名, 然后单击 "在此域中创建 GPO" 并在此处链接。
- 在 "名称" 文本框中键入 GPO 的名称, 然后单击 "确定"。
- 右键单击新的 GPO, 然后单击 "编辑"。
- 从组策略管理编辑器中, 依次展开 "计算机配置"、"策略"、" Windows 设置"、"安全设置"、" windows Defender 防火墙", 然后单击 " windowsDefender 防火墙-LDAP://
- 右键单击出站规则,然后单击新建规则。
- 单击 "自定义", 然后单击 "下一步"。
- 单击 "程序" 页面、"协议和端口" 页面以及 "作用域" 页面上的 "下一步"。
- 在 "操作" 页面上, 确保 "阻止连接" 处于选中状态, 然后单击 "下一步"。
- 在 "个人资料" 页面上, 单击 "下一步"。
- 在 "名称" 页面上, 键入规则的名称, 然后单击 "完成"。
- 在右窗格中, 右键单击新规则, 然后单击 "属性"。
- 单击 "本地主体" 选项卡, 选中 "仅允许来自这些用户的连接" 复选框, 然后单击 "添加"。
- 单击 "应用程序包属性", 然后单击 "确定"。
- 在 "选择功能" 对话框中, 单击 "应用程序包 AUTHORITY\A 主页或工作网络", 然后单击 "确定"。
- 单击 "应用程序包" 下的 "程序和服务" 选项卡, 然后单击 "设置"。
- 单击 "应用到此应用程序包", 在文本框中选择应用, 然后单击 "确定"。
- 单击 "确定" 关闭 "属性" 对话框。
- 关闭“组策略管理编辑器”。
- 在 "组策略管理" 中, 确保已选中新的 GPO, 在右窗格中的 "安全筛选" 下, 选择 "已验证用户", 单击 "删除", 然后单击 "确定"。
- 在 "安全筛选" 下, 单击 "添加"。
- 在文本框中键入 "域计算机", 然后单击 "确定"。
- 关闭组策略管理。
有点难度,慢慢操作一下吧。
|
发表于 2020-1-15 11:12:17
楼主