亚马逊AWS官方博客

使用Microsoft AppLocker应用程序允许列表管理在Amazon AppStream 2.0上的应用程序

客户在Amazon AppStream 2.0上使用应用程序控制软件来管理用户桌面应用程序。 默认情况下,AppStream 2.0允许用户或应用程序启动任何可执行档案,而不光是只有在AppStream 2.0 应用程序目录中可执行档案。当您的应用程序依赖于另一个应用程序作为执行的一部分,但是您不希望用户能够直接启动该从属应用程序时,必须有一种方法阻止从属应用程序执行。例如,您的应用程序启动Internet Explorer浏览器以提供来自应用程序供应商网站的帮助说明,但是您不希望用户直接启动浏览器。

在某些情况下,您可能想控制哪些应用程序可以在AppStrea,2.0上启动。 Microsoft AppLocker是一个应用程序控制软件,使用控制策略来显式启用或禁用用户可以运行的应用程序。在此博客中,我将向您介绍如何在映像生成器中加入AppLocker来管理用户可以运行的应用程序。

 

先决条件

  • AppStream 2.0映像生成器处于运行状态
  • 处于停止状态的队列和堆栈

您可以在入门指南中阅读有关设置AppStream 2.0的更多信息。

 

执行配置

配置您的AppLocker应用程序控制策略

在此步骤中,我们连接到正在运行的映像生成器,启动本地安全策略实用程序,并配置AppLocker应用程序控制策略。 AppLocker应用程序控制策略将允许AppStream 2.0代理,我们将使用Mozilla FireFox作为演示应用程序。

注意:如果Active Directory用于映像生成器和队列,则可以通过Active Directory组策略配置AppLocker应用程序控制策略。这样做,创建一个新的GPO,或修改一个现有的GPO,然后从步骤3开始。

  1. 以管理员用户身份连接到正在运行的映像生成器。
  2. 连接后,打开“开始”菜单,然后输入msc。
  3. 展开以下内容:应用程序控制策略> AppLocker。
  4. 选择配置规则实施。
  5. 在“ AppLocker属性”对话框中,选中“可执行规则”部分中“已配置”旁边的复选框,然后选择“确定”。

注意:在后续步骤中启动AppLocker Windows服务之前,不会强制执行规则。

  1. 选择可执行规则。
  2. 在右面板中,右键单击空白,然后选择“创建默认规则”以创建Microsoft建议的默认规则。

注意:Microsoft建议的默认规则自动允许Windows和Program Files目录中的所有内容。您必须根据用户的需求来缩小范围。

  1. 选择名称为(默认规则)的规则,位于Program Files文件夹中的所有文件,然后从工具栏中选择“操作”,然后选择“删除”。该规则过于广泛,将在以后的步骤中替换为用户可以运行的软件的文件夹。
  2. 选择操作,创建新规则…。
  3. 如果出现“开始之前”对话框,请选择“下一步”,否则请跳过此步骤。
  4. “权限”对话框的默认值已足够。选择下一步继续。
  5. 在“条件”对话框中,选择“路径”,然后选择“下一步”。
  6. 在“路径”对话框中,选择“浏览文件夹”,然后导航到C:\Program Files(x86)\Mozilla Firefox中的Mozilla Firefox目录。选择后,选择“确定”。然后选择创建。

注意:为防止用户启动Windows命令提示符或Windows PowerShell,请修改Windows文件夹规则中的(默认规则)所有文件,以排除命令提示符可执行文件和PowerShell目录。使用拒绝规则可能会阻止映像生成器和队列实例部署。

配置AppLocker以自动启动

在此步骤中,我们在映像生成器上启用AppLocker,并将其配置为自动启动。默认情况下,管理AppLocker(应用程序身份)的Windows服务未运行,并且配置为仅手动启动。当“应用程序身份”服务未运行时,规则无效。您可以使用组策略在Active Directory域加入的实例上启动服务,也可以使用提升的命令提示符将服务配置为自动启动。您可以通过阅读Microsoft AppLocker概述上的配置应用程序身份服务来了解更多信息。

  1. 打开Windows“开始”菜单,然后右键单击“命令提示符”,然后选择“以管理员身份运行”。
  2. 在提升的命令提示符下,执行以下命令以启动“应用程序身份Windows”服务:net start appidsvc
  3. 在提升的命令提示符下,执行以下命令:exe config appidsvc start = auto

Application Identity Windows服务现在应该正在运行,并且已配置为在映像生成器和队列实例上自动启动。如果切换到非管理员用户,则应看到规则正在生效,仅允许运行由AppLocker规则指定的应用程序。

创建AppStream 2.0映像

在此步骤中,我们将创建AppStream 2.0映像,该映像允许运行Firefox,将其应用于队列,然后使用URL进行测试。

  1. 以管理员用户身份从映像生成器桌面启动Image Assistant。
  2. 选择添加应用程序,然后指定用户应该能够从应用程序目录中启动的应用程序。对于我们的映像,请使用Mozilla FireFox。

注意:必须指定的唯一应用程序是用户需要直接启动的应用程序。如果该应用程序启动另一个应用程序,则无需在Image Assistant中指定其他应用程序。该应用程序必须包含在AppLocker允许规则中。

  1. 对用户应该能够从AppStream 2.0应用程序目录中启动的每个其他应用程序重复步骤2。
  2. 为了进行测试,请使用AppLocker规则不允许的应用程序重复步骤2。例如,您可以指定Internet Explorer。
  3. 继续创建AppStream 2.0映像。

使用新创建的AppStream 2.0映像更新停止的队列,并使用URL进行测试

在此步骤中,我们使用新创建的AppStream 2.0映像更新停止的队列,启动队列,然后使用URL进行传输。

  1. 在AppStream 2.0管理控制台导航窗格中,选择Fleets
  2. 选择要拥有新创建的映像的停止的队列,然后选择“操作”,“编辑”。
  3. 从“名称”下拉列表中选择新创建的映像,然后选择“更新队列”。
  4. 选择操作,然后选择开始。
  5. 队列达到运行状态后,切换到“堆栈”选项
  6. 选择与先前更新的队列关联的堆栈,然后选择“操作”,“创建URL”。
  7. 输入用户名,然后选择获取URL。
  8. 选择复制链接以将URL复制到剪贴板。
  9. 在新选项卡中,或使用私人浏览选项,导航至URL。
  10. 尝试启动AppLocker策略不允许的应用程序。您应该收到一条错误消息,指出应用程序已被管理员阻止。

 

总结

在此博客中,我们使用AppLocker创建了用户可以在AppStream 2.0实例上运行的应用程序的允许列表。通过在剪贴板,文件传输,本地打印权限和VPC安全组旁边使用AppLocker,可以密切管理用户的应用程序体验,从而为他们提供所需的访问权限和资源。

本篇作者

徐欣蕾

Amazon Web Services公司专业服务团队WorkSpaces顾问。