Rakenduste isoleerimine MSIX App Attachi abil Windows 11-s

MSIX App Attach on muutunud võtmekomponendiks Neile, kes soovivad rakendusi Windows 11-s ja sellistes keskkondades nagu Azure Virtual Desktop (AVD) kaasaegsel viisil isoleerida ja edastada. Kui olete aastaid vaeva näinud hiiglaslike piltide, App-V, MSI installijate või lõputute käivitusskriptidega, võimaldab see tööviis teil selgelt eraldada operatsioonisüsteemi, rakendused ja kasutajaandmed ning hallata kõike palju tõhusamalt.

Selles artiklis kogume, korrastame ja laiendame See kursus hõlmab kogu hajutatud teavet MSIX-i, rakenduse sidumise, Win32 rakenduste isoleerimise, AVD-välise testimise ning Visual Studio ja selliste tööriistadega nagu MSIX Packaging Tool või MSIXMGR pakkimise parimate tavade kohta. Eesmärk on, et teil oleks kursuse lõpus põhjalik arusaam: mis on MSIX, kuidas luua pakette, kuidas neid VHDX/CIM-iks teisendada, kuidas neid lokaalselt testida, kuidas neid Azure'i virtuaaltöölauaga integreerida ning kuidas see kõik sobib rakenduste isoleerimise ja muude Windows 11 turbemehhanismidega.

Mis on MSIX ja miks see on rakenduse lisamise jaoks nii oluline?

MSIX on Microsofti kaasaegne pakendivorming. Windowsi rakenduste jaoks, mis on loodud traditsiooniliste .exe, .msi, App-V, ClickOnce'i ja sarnaste vormingute järkjärguliseks asendamiseks. See pole lihtsalt järjekordne installiprogramm: see ühendab traditsioonilised installikontseptsioonid rakenduste virtualiseerimise ja konteineritega, mille tulemuseks on puhtad, usaldusväärsed ja hõlpsasti hooldatavad paketid nii kohapealsete kui ka pilvekeskkondade jaoks.

MSIXi peamised eelised on väga keskendunud igapäevasele tegevuseleSee pakub umbes 99,96% eduka installimise määra, garanteerib puhta desinstalli, vähendab ribalaiuse tarbimist 64 KB plokkide abil ja hoiab ära failide dubleerimise kettal rakenduste vahel, võimaldades Windowsil hallata jagatud faile rakenduste isolatsiooni rikkumata.

Administraatorite jaoks tähendab MSIX mõtteviisi muutustSa ei installi rakendust enam süsteemi "kõvakettalt", vaid pakendad selle MSIX-konteinerisse koos manifestiga (AppxManifest), mis deklareerib identiteedid, menüü Start kirjed, failide seosed, kohandatud protokollid, ressurssidele juurdepääsu võimalused ja muud shelli ja süsteemiga integratsiooni üksikasjad.

Microsoft pakub selle ülemineku hõlbustamiseks spetsiaalseid tööriistu.: MSIX Packaging Tool olemasolevate installijate (EXE, MSI, App-V, ClickOnce) MSIX-iks teisendamiseks; MSIX SDK Windowsi-väliste pakettidega töötamiseks; App Installer pakettide juurutamiseks URL-idelt või kohalikult meedialt; ja Package Compatibility Platform "paranduste" rakendamiseks, kui teil puudub juurdepääs lähtekoodile.

MSIX App Attach: rakenduste dünaamiline edastamine Windows 11-s ja AVD-s

MSIX App Attach on kaasaegne viis MSIX-pakettide edastamiseks App Attach juurutab dünaamiliselt nii füüsilisi kui ka virtuaalseid masinaid, eriti integreerituna Azure Virtual Desktopiga ja toetatuna ka Windows 10/11 Enterprise'is. Erinevalt rakenduse otse installimisest klassikalise MSIX-ina on App Attach loodud rakenduse ühendamiseks kettakujutiselt (VHD, VHDX või CIM) ja süsteemiga ühendamiseks ilma, et see muutuks baaskujutise püsivaks osaks.

MSIX App Attachi suur atraktiivsus seisneb selges eraldatuses süsteemi kujutise, rakenduste ja kasutajaandmete vahel. Windowsi kujutis jääb kergeks, rakendused asuvad MSIX-konteinerites virtuaalsete ketaste sees ja kasutajaprofiilid saavad asuda lahendustes nagu FSLogix, mis hõlbustab värskendusi, tagasipööramisi, testimist ja lühendab sisselogimisaega.

AVD-keskkondades välistab MSIX App Attach vajaduse Kõigi võimalike rakendustega monoliitsete kujutiste asemel laadite MSIX-pakette sisaldavad kettad üles Azure Filesi ühiskasutusse, deklareerite need hostipoolis MSIX-pakettidena ning määrate need rakenduste ja kasutajarühmadele. Kasutaja näeb rakendusi nii, nagu need oleksid lokaalselt installitud, kuid süsteemikujutis jääb samaks.

Lisaks on MSIX App Attach kasulik ka väljaspool Azure Virtual Desktopi.Seda toetavad API-d on Windows 10/11 Enterprise'i sisse ehitatud ja võimaldavad MSIX-pakette lokaalselt ühendada, registreerida ja lahti ühendada PowerShellSee sobib ideaalselt testimisstsenaariumide, laborite või paketi ühilduvuse valideerimiseks enne selle AVD-s tootmiskeskkonda juurutamist.

Süsteemitõmmiste tüübid ja miks App Attach sobib paremini tänapäevasesse mudelisse

Kui me räägime Windowsi töölauapiltidest või VDI-stTraditsiooniliselt on järgitud kolme lähenemisviisi: osakonnapõhised „pärand”kujutised, suured standardkujutised kõigi rakendustega ja viimasel ajal moodne lähenemine, kus baaskujutis on peaaegu tühi ja rakendused edastab streaming või dünaamiliselt kinnitatud.

Pärandmudelis on igal kasutajarühmal oma pilt (raamatupidamine, arendus, disain jne). See lihtsustab mõnevõrra iga rühma igapäevatööd, kuid hoolduse, paranduste ja testimise õudusunenäo hinnaga, sest iga muudatus nõuab mitme pildi muutmist ja juurutuste koordineerimist.

Standardne monoliitmudel vähendab piltide arvu Kõige ühte pilti koondamise hinnaga: kõik rakendused kõigile kasutajatele samas vaates, sageli kombineerituna rakenduste maskeerimistehnikatega, et peita rakendusi olenevalt sellest, kes sisse logib. Mõningane haldusvõimalus on saavutatav, aga hind on... kõrge algusaeg ja uuenduste puhul palju keerukust.

Kaasaegne mudel soosib puhast kuvandit ainult operatsioonisüsteemiga, draiverid ja kriitilisi komponente ning jätab rakendused välja, edastades need MSIX-i, MSIX App Attachi või samaväärsete lahenduste kaudu. See mudel sobib ideaalselt Azure Virtual Desktopi ja MSIX-i konteinerite jaoks, kuna rakendusi saab vastavalt vajadusele paigaldada ja eemaldada.

MSIX-paketist kettakujutiseks: VHDX ja CIM MSIXMGR-iga

Rakenduse kasutamiseks MSIX App Attachiga ei piisa .msix-laiendist.Peate selle paketi teisendama kettakujutiseks, mille saab süsteemi draivina paigaldada. Microsoft lubab kolme vormingut: VHD, VHDX ja CIM, kuigi tänapäeval on soovitatav vältida VHD-d ja eelistada VHDX-i või veelgi parem CIM-i (Composite Image File System) jõudluse ja ressursitarbimise seisukohast.

Selle protsessi peamine tööriist on MSIXMGRSaate selle alla laadida ja administraatoriõigustega Windows 10 või 11 seadmes kausta lahti pakkida. Selle abil saate .msix-faili lahti pakkida ja luua vastava .vhdx- või .cim-faili, mis on konsoolikäskluse abil rakendusele manustamiseks valmis.

CIM-pildi loomise põhiprotseduur See seisneb a avamises käsuviip Liigu ülemõigustega asukohas kataloogi, kus asub MSIXMGR, veendu, et sihtkaust on olemas, ja käivita järgmine käsk:
msixmgr.exe -Unpack -packagePath "C:\msix\miapp.msix" -destination "C:\msix\miapp\miapp.cim" -applyACLs -create -fileType cim -rootDirectory apps

VHDX-faili puhul on käsk sarnane, muutes failitüüpi ja sihtkoht, mille tulemusel MSIXMGR loob ja vormindab virtuaalketta, rakendab ACL-e ning hoiab selle kettana ühendamiseks valmis:
msixmgr.exe -Unpack -packagePath "C:\msix\miapp.msix" -destination "C:\msix\miapp.vhdx" -applyACLs -create -fileType vhdx -rootDirectory apps

Kui pilt on loodud, on järgmine samm selle üleslaadimine. sobivas jagatud ressursis (Azure Files AVD jaoks või muus jagamiskeskkonnas kohapeal) ja valmistage ette skriptid või konfiguratsioon, mis teostab rakenduse paigaldamise, registreerimise ja lahtiühendamise vastavalt stsenaariumile.

Arenduskeskkonna ettevalmistamine: Visual Studio, App Attach Toolkit ja MSIX-tööriistad

Kui oled arendaja ja soovid oma rakendusi App Attachi jaoks pakendadaKõige mugavam viis töötamiseks on Visual Studio 2022 ja Windows App SDK. Moodsate WinUI 3-ga töölauaprojektide jaoks on soovitatav mall „Tühi rakendus, pakendatud (WinUI 3 töölaual)”, mis on juba MSIX-i jaoks konfigureeritud.

Esiteks on soovitatav installida Visual Studio 2022.Konfigureeritud C# või C++ jaoks, olenevalt projektist, ja lisage Visual Studio installijast töökoormus "Azure Development". See hõlbustab otsest avaldamist Azure'i virtuaaltöölauale ja muudesse pilveintegratsioonidesse.

Üks väga kasulik seade on App Attach Toolkiti laiendus.Saadaval Visual Studio Marketplace'is. Kui laiendus on installitud, saate otse IDE-st luua rakenduste lisamiseks valmis MSIX-pakette, genereerida VHDX-ketta kujutise ja soovi korral isegi avaldada tulemuse AVD-hostikogumis ilma Visual Studiost lahkumata.

Traditsioonilisemate stsenaariumide või olemasolevate Win32 rakenduste pakendamiseksMSIX Packaging Tool on endiselt asendamatu. See võimaldab teil jäädvustada EXE- või MSI-faili installiprotsessi testmasinas (ideaaljuhul kasutades selliseid teenuseid nagu Windows Update või Windowsi otsing on peatatud), konfigureerige allkirjastamissertifikaat, määrake esimesed käivitusülesanded, kaasatud teenused ja muud üksikasjad ning lõpuks looge kasutusvalmis .msix-fail.

Rakenduse lisamiseks valmis pakettide loomine Visual Studio 2022-st

Kui rakenduse lisamise laiendus on Visual Studio 2022-sse installitudPakendatud WinUI 3 rakenduse tüüpiline töövoog on suhteliselt lihtne. Kõigepealt avage Visual Studio administraatori režiimis (paremklõps, „Käivita administraatorina“), et vältida lubadega seotud probleeme piltide genereerimisel ja sertifikaatidele juurdepääsul.

Loote pakendatud WinUI 3-tüüpi C# või C++ töölauaprojekti Ja kui teie rakendus on mõistlikus olekus, minge lahenduste brauserisse, paremklõpsake pakendatud projektil ja valige „Pakendamine ja avaldamine” > „Rakenduse manustamiskomplektide loomine”. See suvand käivitab rakenduse manustamisviisardi.

Nõustaja sees saate konfigureerida paketi erinevaid aspekteVäljundkoht, kuhu MSIX-fail ja VHDX-ketta kujutis genereeritakse, sihtplatvorm (x64, ARM64 jne) ja mis kõige tähtsam, paketi allkirjastamiseks kasutatav sertifikaat. Saate sertifikaadi valida kohalikust salvestusest, kasutada .pfx-faili või genereerida uue kohe.

Allkiri on paketi installimiseks kohustuslik nõue. teistes seadmetes; see sertifikaat peab olema sihtmasinates usaldusväärne (tavaliselt installitud kausta Usaldusväärsed Juur või usaldusväärsete inimeste kategoorias). Ettevõttekeskkondades pärineb see tavaliselt sisemiselt sertifitseerimisasutuselt, samas kui avalikuks levitamiseks on tavaline kasutada kommertssertifikaati.

Laiendus sisaldab ka erinevaid väljumisvõimalusiLooge lihtsalt käsitsi levitamiseks kettakujutis, linkige rakendus arendusmasinas (testimise jaoks väga praktiline) või avaldage see otse Azure'i virtuaalse töölaua hostirühma, määrates tellimuse, ressursirühma ja konto. ladustaminejagatud ressurss, rakenduste kogum, tööruum ja hostikogum.

Laiendusvalikud: ketta kujutis, manustamine kohapeal või avaldamine AVD-le

Valik „Loo ainult üks kettakujutis” genereerib VHDX- või CIM-faili. See on rakenduse lisamiseks valmis, kuid see ei avalda ega registreeri seda kusagil. See on ideaalne, kui soovite ketta kopeerida teisele ühiskasutusse, selle käsitsi Azure Filesi üles laadida või integreerida selle teise automatiseerimisvoogu, mis ei sõltu IDE-st.

Funktsioon "Kohaliku rakenduse linkimine" See loob rakenduse lisamiseks valmis paketi ja avaldab selle kohalikus masinas, et saaksite testida reaalset kogemust ilma AVD-hostibasseini vajamata. Kasutaja saab rakenduse installida, selle käitumist testida ning seejärel ketta välja võtta ja paketi desinstallida ilma olulisi jälgi jätmata.

„Azure'i rakenduste partnerluse (AVD)” integratsioon See võimaldab täielikku üleminekut tootmiskeskkonda. Laiendus loob MSIX-paketi, genereerib kettakujutise ja laadib selle üles AVD-failide ühiskasutusse, registreerides paketi vastavas rakenduste kaustas ja linkides selle hosti kausta ja tööruumiga, et kasutajad saaksid seda näha.

Selles Azure'i registreerimises peate sisestama mitu kriitilist parameetritVajalikud on Azure'i tellimus, ressursirühm, kus hostikogum asub, failide ühiskasutust sisaldav salvestuskonto, ühiskasutus ise, rakenduste kogum, seotud tööruum ja hostikogum, kus seansid töötavad. Selle teabe abil saab ühe klõpsuga nupul „Avalda“ käivitada kogu automatiseeritud protsessi.

Sisemiselt muudab laiendus lahendust minimaalselt Lisatakse kaust AppAttachPackages, mis sisaldab MSIX-i ja VHDX-i artefakte, ning fail appattach.config koos konfiguratsiooni replikeerimiseks või säilitamiseks vajalike metaandmetega. Kuigi seda saab ohutult ignoreerida, on jälgitavuse tagamiseks soovitatav versioonimine.

Azure'i virtuaalse töölaua ja Azure'i failide ettevalmistamine MSIX-i rakenduse manustamiseks

Reaalses AVD juurutuses tugineb MSIX App Attach heale disainile. salvestusruum ja õigused. Tavapärane praktika on kasutada Active Directoryga integreeritud Azure Filesi ja korraldada õigusi. NTFS ja RBAC, et korralikult isoleerida, kes saab pakette hallata ja kes ainult lugeda.

Tüüpiline skeem algab kahe turberühma loomisega. Active Directorys: üks AVD kasutajatele (nt AVDUsers) ja teine ​​seansi hostidele (AVDSessionHosts). Kasutajad, kes kasutavad lisatud rakendusi, lisatakse esimesse rühma. virtuaalsed masinad Teiseks tuleb tagada, et kõik oleksid Azure AD-ga Azure AD Connecti kaudu sünkroniseeritud.

Seejärel luuakse salvestusruumi administraatori kasutaja. (näiteks StorageAdmin), mis määrab Azure'i failide jagamisele õigused ja haldab NTFS-i. Kui Azure'is on loodud salvestuskonto (ideaaljuhul Premium-konto tootmiseks, millel on vajalik jõudlus ja koondamine), registreeritakse see Active Directory's, kasutades AZFilesHybrid moodulit PowerShelliga.

Õiguste osas kasutatakse Azure RBAC-i sobivate rollide määramiseks. Näiteks „Storage File Data SMB Share Elevated Contributor” administraatoritele ja „Storage File Data SMB Share Reader” tavakasutajatele ja seansihostidele. NTFS-is peab kaust, mis sisaldab pakette (näiteks \share\MSIXPackages), andma kasutaja- ja masinarühmadele vähemalt lugemis- ja kaustade loetlemise õigused.

Viimane oluline element on allkirjasertifikaadid MSIX-pakettidest. Saate kasutada kommertssertifikaate, ettevõtte PKI infrastruktuuri või iseallkirjastatud sertifikaate. Laborikeskkondade puhul on üsna tavaline kasutada PowerShelli abil loodud iseallkirjastatud sertifikaati, eksportida see .pfx- ja .cer-failidena, kasutada pakkimistööriistas .pfx-faili ning levitada .cer-faili kõigile seansi hostidele (rühmapoliitika, kohandatud pildi või käsitsi installimise kaudu) usaldusväärse juurkataloogi salves.

MSIX-paketi ja selle VHDX-konteineri loomise täielik töövoog

Praktilise näitena kujutame ette, et pakendame 7-Zipi. või mõni muu klassikaline Win32 rakendus. Domeeniga ühendatud ja kontrolleriga ühendatud testmasinal laadisime Microsoft Store'ist või selle dokumentatsiooni lehelt alla rakenduse .exe-installeri ja MSIX Packaging Tooli.

MSIX Packaging Tooli sees valime „Loo rakenduse pakett”, paketi loomise võimalus see meeskond Jätkates kontrollib tööriist ise teenuseid, nagu Windows Search ja Windows Update, pakkudes nende keelamist, et vältida müra jäädvustamise ajal. Seejärel valige EXE-installer ja soovi korral määrake vaikse installi argumendid.

Allkirjastamise etapis valime .pfx-sertifikaadi Oleme paketi ette valmistanud, sisestame parooli ja soovi korral ajatempli serveri. Seejärel täidame paketi teabe: sisemine nimi, kuvatav nimi, avaldaja, kirjeldus ja versioon, püüdes olla kooskõlas organisatsiooni nimetamiskonventsiooniga.

Tööriist käivitab rakenduse installimise.Siinkohal on ülioluline keelata kõik rakenduse automaatsed värskendused ja vajadusel enne viisardiga jätkamist seade taaskäivitada. See on hea aeg rakenduse avamiseks, selle toimimise kontrollimiseks ja soovitud esialgse seadistuse konfigureerimiseks.

Pärast valmimist määratletakse esmased käivitusülesanded. (sisenemispunktid, teed peamiste .exe-failideni), kontrollib seotud teenuseid ja loob lõpuks .msix-faili ja teisenduslogi. Seejärel saab selle paketi pärast allkirjastamissertifikaadi importimist installida teise Windows 10/11 süsteemi.

Selle MSIX-i maailmale toomiseks lisati rakendus App AttachJärgmine samm on kettakonteineri, tavaliselt VHDX-faili loomine, kasutades Hyper-V ja MSIXMGR-i või kolmanda osapoole utiliite, näiteks AppVentiX Community Tooli või MSIX Hero't. Tulemuseks on .vhdx-fail, mille saate ühendada ketta, partitsiooni ja ... formaatja millel MSIX MSIXMGR-iga lahti pakkida, et see hostbasseinidesse dünaamiliseks ühendamiseks ette valmistada.

Rakenduse ühendamise etapid ja testimine väljaspool Azure'i virtuaalset töölauda

Rakenduse lisamise mootor töötab alati neljas erinevas faasisStage (ajutine salvestusruum), Register (kasutaja registreerimine), Deregister (registreerimise tühistamine) ja Destage (paigalduse eemaldamine). Stage ja Destage on masintaseme toimingud; Register ja Deregister on kasutajataseme toimingud.

MSIX-pakettide testimiseks väljaspool AVD-d võite järgida sama skeemi Windows 10/11 Enterprise'i masinas, mis kasutab PowerShelli, tuleb esmalt paigaldada ketta kujutis (VHDX/CIM) vastava käsuga, hankida köite deviceId, leida AppxManifest.xml, luua tee ja kasutada Windows.Management.Deployment.PackageManager API-sid, et käivitada StagePackageAsync valikuga StageInPlace.

Kui pakett on „etapistatud“ olekusSelle registreerimiseks kasutajale kutsuge Add-AppxPackage ja osutage AppxManifest-failile kaustas Program Files\WindowsApps. Seejärel kuvatakse rakendus seansis nagu iga teine ​​installitud rakendus ja saate selle avada, et kontrollida selle funktsionaalsust ja jõudlust.

Kui olete testimise lõpetanud, tühistage registreerimine käsuga Remove-AppxPackage kasutades täielikku paketinime (msixPackageFullName). Seejärel jätkake eemaldamisega: lahutage kettakujutis käsuga, mis vastab vormingule (VHDX, VHD, CIM) ja kui soovite olla põhjalik, korrake käsku Remove-AppxPackage -AllUsers, et veenduda, et see pole kellegi jaoks registreeritud.

Sama muster etappidest/registreerimisest/registreerimise lõpetamisest/etapi lõpetamisest Seda saab automatiseerida käivitus-, väljalogimis- ja sulgemisskriptide abil koos grupipoliitikatega. Nii saate simuleerida rakenduste sidumise käitumist füüsilistes masinates või kontrollitud keskkondades ilma juhtimistasandit (nt AVD) vajamata.

Win32 rakenduste isoleerimine, AppContainer ja turvalisus Windows 11-s

MSIX ja App Attach ei ole isoleeritud üksused, vaid osa suuremast strateegiast. Süsteemi kõvendamine Windows 11-s, kus võtmerolli mängivad Win32 rakenduste isolatsioon, UWP rakenduste konteinerid, Windows Sandbox, WSL ja virtualiseerimispõhised enklaavid.

AppContainer toetab Win32 rakenduste isoleerimist Madala terviklikkuse tasemega protsesside käitamiseks, ligipääsetavate API-de ja ressursside range piiramine. Esiteks käivitatakse rakendus selles rangelt piiratud konteineris; teiseks antakse sellele MSIX-paketi manifesti kaudu ainult vajalikud võimalused, mis toimib Windowsi turvatavate objektide juurdepääsulepinguna.

Aitamaks arendajatel neid võimalusi täpsustada Pimedate katsete vältimiseks on olemas rakenduse võimete profiilija (ACP), mis võimaldab rakendust käivitada õpperežiimis. Selles režiimis, kui mõni funktsioon puudub, ei blokeerita juurdepääsu, vaid see ajutiselt lubatakse ning rakendus salvestab, millist funktsiooni oleks vaja tõeliselt isoleeritud režiimis töötades.

Lisaks Win32 isolatsioonile, UWP-rakendustele ja muudele kogemustele Need töötavad rakenduste konteinerites, mis töötavad samuti madala terviklikkuse tasemel, piirates juurdepääsu failisüsteemile, registrile ja võrgule (näiteks piirates juurdepääsu localhostile). See vähendab drastiliselt rünnakupinda, kui rakendus peaks ohtu sattuma.

Seda lähenemisviisi täiendavad Windows Sandboxi (Windows Sandbox) ebausaldusväärsete Win32 rakenduste käitamiseks ühekordselt kasutatavates keskkondades, WSL koos selliste juhtelementidega nagu Hyper-V tulemüürDNS-tunneldamine ja automaatne puhverserver, mida haldavad sellised tööriistad nagu Intune, ning virtualiseerimispõhised turbeenklaavid (VBS), mis toimivad tarkvaraliste TEE-dena, et kaitsta saladusi isegi kõrgelt privilegeeritud ründajate eest.

Integreeritud rakenduste haldus, wsappx ja täiustatud stsenaariumid AVD-s

Windows 11 mitme seansiga keskkondades AVD-des tekib veel üks kurioosne probleem.integreeritud rakenduste (kalkulaator, To Do, Paint, Notepad jne) haldamine ja wsappx protsessi mõju protsessorile, eriti kui palju kasutajaid jagab hosti.

Paljud administraatorid soovivad Microsoft Store'i keelata. GPO kaudu ressursikasutuse vähendamiseks ja volitamata installimiste blokeerimiseks. Probleem on selles, et kui see on keelatud, siis eelinstallitud AppX-i rakendused ei uuenda enam standardmeetodi kaudu ja kõik need pole Winget'is saadaval, mis on tavaliselt automatiseeritud juurutuste eelistatud tööriist.

Võimalikud strateegiad hõlmavad mitme tehnika kombineerimistValikud ulatuvad poe aktiivseks jätmisest ainult administratiivsetel eesmärkidel ja selle kasutamise kontrollimisest rangete poliitikate abil kuni teatud integreeritud rakenduste migreerimiseni pakendatud versioonidesse, näiteks MSIX-i ja isegi App Attachi, kui see on teostatav. Mõnel juhul saab integreeritud rakendused asendada hallatavate ekvivalentidega, kasutades Wingetit või kohandatud MSIX-i.

wsappxi osas saab optimeerida. de saabasminimeerida Store'i ja AppX-iga seotud taustaülesandeid ning Mõõda DPC latentsust et tuvastada, millised konkreetsed toimingud koormust tekitavad. Igal juhul aitab võimalikult paljude rakenduste teisaldamine MSIX + App Attach mudelisse paremini kontrollida iga rakenduse jalajälge süsteemis.