亚马逊管理策略,使用Microsoft AppLocker应用程序允许列表管理在Amazon AppStream 2.0上的应用程序 | 亚马逊AWS官方博客

关注

客户在Amazon AppStream 2.0上使用应用程序控制软件来管理用户桌面应用程序。 默认情况下,AppStream 2.0允许用户或应用程序启动任何可执行档案,而不光是只有在AppStream 2.0 应用程序目录中可执行档案。当您的应用程序依赖于另一个应用程序作为执行的一部分,但是您不希望用户能够直接启动该从属应用程序时,必须有一种方法阻止从属应用程序执行。例如,您的应用程序启动Internet Explorer浏览器以提供来自应用程序供应商网站的帮助说明,但是您不希望用户直接启动浏览器。

在某些情况下,您可能想控制哪些应用程序可以在AppStrea,2.0上启动。 Microsoft AppLocker是一个应用程序控制软件,使用控制策略来显式启用或禁用用户可以运行的应用程序。在此博客中,我将向您介绍如何在映像生成器中加入AppLocker来管理用户可以运行的应用程序。

 

先决条件AppStream 2.0映像生成器处于运行状态 处于停止状态的队列和堆栈

您可以在入门指南中阅读有关设置AppStream 2.0的更多信息。

 

执行配置 配置您的AppLocker应用程序控制策略

在此步骤中,我们连接到正在运行的映像生成器,启动本地安全策略实用程序,并配置AppLocker应用程序控制策略。 AppLocker应用程序控制策略将允许AppStream 2.0代理,我们将使用Mozilla FireFox作为演示应用程序。

注意:如果Active Directory用于映像生成器和队列,则可以通过Active Directory组策略配置AppLocker应用程序控制策略。这样做,创建一个新的GPO,或修改一个现有的GPO,然后从步骤3开始。

以管理员用户身份连接到正在运行的映像生成器。 连接后,打开“开始”菜单,然后输入msc。 展开以下内容:应用程序控制策略> AppLocker。 选择配置规则实施。 在“ AppLocker属性”对话框中,选中“可执行规则”部分中“已配置”旁边的复选框,然后选择“确定”。

注意:在后续步骤中启动AppLocker Windows服务之前,不会强制执行规则。

选择可执行规则。 在右面板中,右键单击空白,然后选择“创建默认规则”以创建Microsoft建议的默认规则。

注意:Microsoft建议的默认规则自动允许Windows和Program Files目录中的所有内容。您必须根据用户的需求来缩小范围。

选择名称为(默认规则)的规则,位于Program Files文件夹中的所有文件,然后从工具栏中选择“操作”,然后选择“删除”。该规则过于广泛,将在以后的步骤中替换为用户可以运行的软件的文件夹。 选择操作,创建新规则…。 如果出现“开始之前”对话框,请选择“下一步”,否则请跳过此步骤。 “权限”对话框的默认值已足够。选择下一步继续。 在“条件”对话框中,选择“路径”,然后选择“下一步”。 在“路径”对话框中,选择“浏览文件夹”,然后导航到C:\Program Files(x86)\Mozilla Firefox中的Mozilla Firefox目录。选择后,选择“确定”。然后选择创建。

注意:为防止用户启动Windows命令提示符或Windows PowerShell,请修改Windows文件夹规则中的(默认规则)所有文件,以排除命令提示符可执行文件和PowerShell目录。使用拒绝规则可能会阻止映像生成器和队列实例部署。

配置AppLocker以自动启动

在此步骤中,我们在映像生成器上启用AppLocker,并将其配置为自动启动。默认情况下,管理AppLocker(应用程序身份)的Windows服务未运行,并且配置为仅手动启动。当“应用程序身份”服务未运行时,规则无效。您可以使用组策略在Active Directory域加入的实例上启动服务,也可以使用提升的命令提示符将服务配置为自动启动。您可以通过阅读Microsoft AppLocker概述上的配置应用程序身份服务来了解更多信息。

打开Windows“开始”菜单,然后右键单击“命令提示符”,然后选择“以管理员身份运行”。 在提升的命令提示符下,执行以下命令以启动“应用程序身份Windows”服务:net start appidsvc 在提升的命令提示符下,执行以下命令:exe config appidsvc start = auto

Application Identity Windows服务现在应该正在运行,并且已配置为在映像生成器和队列实例上自动启动。如果切换到非管理员用户,则应看到规则正在生效,仅允许运行由AppLocker规则指定的应用程序。

创建AppStream 2.0映像

在此步骤中,我们将创建AppStream 2.0映像,该映像允许运行Firefox,将其应用于队列,然后使用URL进行测试。

以管理员用户身份从映像生成器桌面启动Image Assistant。 选择添加应用程序,然后指定用户应该能够从应用程序目录中启动的应用程序。对于我们的映像,请使用Mozilla FireFox。

注意:必须指定的唯一应用程序是用户需要直接启动的应用程序。如果该应用程序启动另一个应用程序,则无需在Image Assistant中指定其他应用程序。该应用程序必须包含在AppLocker允许规则中。

对用户应该能够从AppStream 2.0应用程序目录中启动的每个其他应用程序重复步骤2。 为了进行测试,请使用AppLocker规则不允许的应用程序重复步骤2。例如,您可以指定Internet Explorer。 继续创建AppStream 2.0映像。 使用新创建的AppStream 2.0映像更新停止的队列,并使用URL进行测试

在此步骤中,我们使用新创建的AppStream 2.0映像更新停止的队列,启动队列,然后使用URL进行传输。

在AppStream 2.0管理控制台导航窗格中,选择Fleets 选择要拥有新创建的映像的停止的队列,然后选择“操作”,“编辑”。 从“名称”下拉列表中选择新创建的映像,然后选择“更新队列”。 选择操作,然后选择开始。 队列达到运行状态后,切换到“堆栈”选项 选择与先前更新的队列关联的堆栈,然后选择“操作”,“创建URL”。 输入用户名,然后选择获取URL。 选择复制链接以将URL复制到剪贴板。 在新选项卡中,或使用私人浏览选项,导航至URL。 尝试启动AppLocker策略不允许的应用程序。您应该收到一条错误消息,指出应用程序已被管理员阻止。

 

总结

在此博客中,我们使用AppLocker创建了用户可以在AppStream 2.0实例上运行的应用程序的允许列表。通过在剪贴板,文件传输,本地打印权限和VPC安全组旁边使用AppLocker,可以密切管理用户的应用程序体验,从而为他们提供所需的访问权限和资源。

本篇作者 徐欣蕾

Amazon Web Services公司专业服务团队WorkSpaces顾问。