Windows 8 und Apps im Unternehmen – Apps für Benutzer durch AppLocker einschränken

Der Einsatz der neuen Modern UI (vorher Metro) für Privatanwender steht außer Frage. Die Meinungen gehen hier weit auseinander aber insbesondere die Nutzer von Tablet PCs oder Displays mit Touchscreen profitieren von der neuen Oberfläche. In meinem beruflichen Umfeld war vorab auch großes Bedenken der neuen Oberfläche gegeben welches sich aber mittlerweile durchweg positiv auswirkt. Selbst die „ältere Generation“ kommt hier doch ganz gut klar. Ich nutze seit dem Erscheinen über Technet und komme ebenfalls sehr gut damit zu recht.

Wie aber schlägt sich die neue Oberfläche insbesondere die Windows im Unternehmen. Hier sind zurzeit kaum Erfahrungswerte vorhanden. Kaum ein Unternehmen hat sich auch nur ansatzweise mit dem Rollout von Windows 8 beschäftig. Was kann und darf der Nutzer und wo müssen die Administratoren dem User neue Grenzen setzen?

Hier bildeten sich mir am Anfang drei grundlegende Fragen:

  • Darf der Standard Benutzer im Unternehmen Windows Apps verwenden?
  • Darf der Standard Benutzer Modern UI Apps aus dem App-Store installieren?
  • Darf der Standard Benutzer sein Domänen Konto mit seinem Windows Konto verknüpfen und Einstellungen synchronisieren?

Leider musste ich feststellen, dass ich hier alle drei Fragen mit einem klaren Ja beantworten muss. Microsoft weicht in meinen Augen hier klar von dem Konzept der geringsten Berechtigungen ab und die Unternehmens-Administratoren müssen hier im Vorfeld tätig werden!

In diesem Artikel beschäftige ich mich damit bestehende Windows 8 Systeme mit Hilfe von welches ab Windows 7 bekannt ist einzuschränken.

Das Regelwerk für AppLocker über die GPMC in einer zu erstellen ist doch eher unpraktisch. Um hier sinnvolle Regeln zu erstellen benötige ich einen Referenz-Client auf dem die entsprechenden Apps schon installiert sind. Praktisch ist hier diesen Referenz-Client ggf. zu virtualisieren um mit diesem auch zukünftige Anpassungen des Regelwerkes erstellen und testen zu können.

Ich nutze also einen Windows 8 Test-Client und öffne die lokale Gruppenrichtlinie über gpedit.msc.

 

 

Hier erstelle ich über Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Anwendungssteuerungsrichtlinien -> AppLocker -> App-Packetregeln die automatisch generierte Regel. Dies bedeutet das AppLocker das Verzeichnis C:\Programme\ nach *.appx Dateien durchsucht, die Informationen über Herausgeber und Co. analysiert und diese in einem Regelwerk zur Verfügung stellt.

 

 

 

Der Haken während der Regelerstellung zur Gruppierung ähnlicher Objekte sollte in diesem Fall nicht genutzt werden. Microsoft erstellt hier eine Regel die besagt, dass alle Apps vom Hersteller Microsoft zugelassen bzw. verweigert werden können. Da in einer Standard Installation aber alle Apps inklusive OneDrive von Microsoft kommen kann ich an dieser Stelle nicht mehr wirklich selektieren.

 

 

Das Ergebnis des Assistenten ist eine lange Liste Apps die zurzeit auf „Zulassen“ gesetzt sind.

 

 

Diese Regeln nehme ich so wie sie sind und exportiere diese via XML zu einem DC. Das Feintuning im Regelwerk werde ich dann über die Gruppenrichtlinie vornehmen.

 

 

Mit Hilfe der GPMC erstellen wir jetzt eine neue Gruppenrichtlinie und finden im selben Pfad die Konfiguration von AppLocker. An dieser Stelle importieren wir unser soeben erstelltes Regelwerk.

 

 

Im oberen Screenshot ist noch der Teil Systemdienste markiert. Damit Anwendungssteuerungsrichtlinien auch umgesetzt werden muss der Dienst Anwendungsidentität gestartet werden. Standardmäßig steht dieser auf manuell. Also gleich diesen Dienst in derselben auf automatischer Start setzen. Ab hier beginnt jetzt das Feintuning. Konfiguriert für jede App die Ihr verweigern wollt explizite Verweigern Regeln. Apps die erlaubt sind könnt ihr hier gerne löschen. Beachtet das AppLocker auch mit Benutzern und Gruppen arbeiten kann. Ein Filterung durch Gruppen ist also durchaus möglich.

 

 

Wichtig ist noch der Punkt Herausgeber. Stellt hier auf jeden Fall bei Paketversion auf „und höher“. Ihr kennt ja den aktuellen Versionsstand auf den Windows 8 Clients ggf. nicht genau.

 

 

Nach der Abarbeitung der GPO und einem Neustart des Clients sollt das Ergebnis dann so aussehen:

 

 

 

2 Gedanken zu „Windows 8 und Apps im Unternehmen – Apps für Benutzer durch AppLocker einschränken

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.