Herausforderungen mit Windows 10 Built-in Apps

Blog
Johannes Bedrech07. 03. 2017

Herausforderungen mit Windows 10 Built-in Apps

Mit der Installation von Windows 10 (ausgenommen Windows 10 LTSB) werden auch sogenannte Store Apps mitinstalliert. In den meisten Enterprise Umgebungen sind diese Apps (Xbox, Wetter, Groove Musik, Mail, Get Office uvm...) für den Arbeitseinsatz nicht relevant bzw. sogar störend.


Die meisten Apps lassen sich mit diversen Skripten deinstallieren - entweder nur für den Benutzer oder gleich systemweit. Einige Apps wie z.B. Microsoft Edge, Contact Support und Windows Feedback lassen sich hingegen gar nicht deinstallieren.


Herausforderungen mit Windows 10 Feature Updates (1507, 1511, 1607)

Hat man die Apps bereits einmal deinstalliert und es steht ein aktuelles Windows 10 Feature Update zur Installation an (z.B. Windows 10 Feature Update 1511 auf Windows 10 Feature Update 1607), werden die entfernten Apps durch das Feature Update wieder installiert. Dieses Verhalten wird laut Microsoft mit einem späteren Feature Update nicht mehr auftreten, allerdings ist bislang nicht bekannt wann es so weit sein wird.


Um nicht immer wieder nach jedem Feature Update die Built-in Apps deinstallieren zu müssen, gibt es mehrere Möglichkeiten. Drei dieser Möglichkeiten (neben der Deinstallation durch Skripte…) stellen wir hier kurz vor:


Möglichkeit 1: Blocken der Built-in Apps mittels Microsoft AppLocker

Die Möglichkeit Built-in Apps mittels AppLocker zu blockieren ist im Betriebssystem integriert und erfordert keine Installation eines Dritt-Hersteller-Tools. Allerdings gilt das nur für die Windows 10 Enterprise Edition.
Der Aufwand so eine Richtlinie zu erstellen ist nicht besonders groß, aber leider funktioniert die Richtlinie nur mit Windows 10 Enterprise, da Microsoft mit dem Windows 10 Feature Update 1511 die Möglichkeiten Richtlinien zu konfigurieren für die Windows 10 Pro Version beschränkt hat.

 


 
AppLocker: Auswahl der zu blockierenden Apps 

 

Möglichkeit 2: Blocken der Built-in Apps mittels Ivanti Application Manager

Eine weit einfachere Möglichkeit die Apps zu blockieren bietet jedoch ein Produkt der Firma Ivanti der Application Manager. Dieses Tool bietet eine simple Konfigurationsmöglichkeit die Built-in Apps zu blockieren und bietet darüber hinaus noch eine Vielzahl anderer Möglichkeiten und Funktionen. Zusätzlich funktioniert das Blockieren der Apps mit „jeder“ Windows 10 Edition und man ist im Gegensatz zur AppLocker Variante nicht auf die Enterprise Version beschränkt. 


Mit dem Ivanti Application Manager in der Version 10.1 lässt sich der Benutzer Zugriff auf Windows 10 und Windows Server 2016 steuern. Ermöglicht wird dies durch einfache White- und Blacklistening Mechanismen. So ist es möglich einzelne Apps freizugeben ohne den gesamten Windows Store freizuschalten. Und das Beste daran ist, selbst wenn es eine neue Version von Windows 10 gibt, und die Rechner ein Update zu dieser vollziehen, der Windows 10 Store App wird weiterhin durch die Regeln im Application Manager gesteuert.

 
Die Meldung beim Blockieren der App ist sowohl beim Application Manager von Ivanti als auch bei Microsofts AppLocker gleich…

Die Regeln selber können auf Gruppen, einzelne Benutzer oder Geräte abzielen und stoppen durch einfache Whitelisting und Blacklisting Mechanismen den unkontrollierten Zugriff auf den Windows Store. Dies hat zur Folge, dass die Clients nicht nur vor möglichen schädlichen Apps geschützt sind, sondern auch Schatten IT oder das Verwenden von nichtlizenzierter Software unterbunden werden.


 
Application Manager Bedingungen

 

Darüber hinaus wird durch den Application Manager jeglicher Versuch zur Ausführung von Ransomware oder Malware durch eine Windows Store App durch das Trust Ownership Checking unterbunden.

 


 
Application Manager: Auswahl der zu blockierenden Apps

 


Möglichkeit 3: Entfernen der Apps aus der Installationsquelle des jeweiligen Feature Updates

Bei der dritten Variante ist es gar nicht notwendig einzelne Store Apps zu blockieren oder ein dritt-Hersteller Tool zu verwenden vielmehr werden hier vor der Installation des neuen Feature Packs die Store Apps bereits aus der Installationsquelle entfernt. Dies funktioniert allerdings nur, wenn das Feature Update vorher heruntergeladen wird und die Store Apps aus der INSTALL.WIM Datei entfernt werden.


Wenn das Feature Update allerdings über Windows Update oder über WSUS aufgebracht wird, wird es etwas schwieriger, da hier im Normalfall keine INSTALL.WIM bereitgestellt wird. In diesem Fall können die Store Apps erst nach der Installation des Feature Updates deinstalliert werden. Dabei wird direkt nach der Installation des Feature Updates ein sogenanntes „POST-SETUP“ Skript ausgeführt, das die Store Apps deinstalliert.


Leider ist es auch mit dieser Variante nicht möglich alle Apps zu entfernen. Für Apps die nicht entfernt werden können - deren Nutzung aber trotzdem nicht möglich sein soll - empfehlen wir, diese wie oben beschrieben zu blockieren.

Conclusio

Für Kunden, die den Application Manager von Ivanti im Einsatz haben, ist es sicher die einfachste Lösung die Store Apps zu blockieren.


Für Kunden, die Windows 10 Enterprise einsetzen, ist der AppLocker von Microsoft ebenfalls ein sehr effektives Werkzeug um die Store Apps zu blockieren, wobei die Einsatzmöglichkeiten und Funktionen des Application Managers weit über die des AppLockers hinausgehen.



Kein Kommentar