(0) exportieren Drucken
Alle erweitern

Isolieren von Windows Store-Apps in Ihrem Netzwerk

Veröffentlicht: März 2012

Letzte Aktualisierung: August 2012

Betrifft: Windows Server 2012

Wenn Sie Ihrem Netzwerk neue Computer und Geräte mit Windows 8 hinzufügen, empfiehlt sich das Anpassen Ihrer Konfiguration der Windows-Firewall, um den Netzwerkzugriff der neuen Windows Store-Apps zu isolieren, die auf den Geräten ausgeführt werden. Entwickler, die Windows Store-Apps erstellen, können bestimmte App-Funktionen deklarieren, die verschiedene Klassen des Netzwerkzugriffs ermöglichen. Ein Entwickler kann entscheiden, welche Art des Netzwerkzugriffs für eine App erforderlich sein soll, und diese Funktion für die App konfigurieren. Bei der Installation der App auf einem Computer mit Windows 8 werden automatisch geeignete Firewallregeln erstellt, um den Zugriff zu ermöglichen. Administratoren können diesen Zugriff dann in der Firewallkonfiguration noch weiter anpassen, wenn sie für diese App mehr Kontrolle über den Netzwerkzugriff haben möchten.

Ein Entwickler kann beispielsweise festlegen, dass seine App nur Verbindungen mit vertrauenswürdigen lokalen Netzwerken (z. B. dem Heim- oder Firmennetzwerk) und nicht mit dem Internet herstellen soll. Auf diese Weise können Entwickler den Umfang des Netzwerkzugriffs für ihre App definieren. Diese Netzwerkisolation hindert eine App daran, auf ein Netzwerk und einen Verbindungstyp (eingehend oder ausgehend) zuzugreifen, wenn die Verbindung nicht für die App konfiguriert wurde. Dann kann der Netzwerkadministrator die Ressourcen, auf die die App zugreifen kann, durch Anpassen der Firewall weiter einschränken.

Durch das Festlegen und Erzwingen dieser Netzwerkgrenzen wird sichergestellt, dass in Konflikt stehende Apps nur auf Netzwerke zugreifen können, für die ihnen der Zugriff explizit erteilt wurde. Dadurch werden ihre Auswirkungen auf andere Apps, auf den Computer und auf das Netzwerk bedeutend reduziert. Zusätzlich können Apps vor missbräuchlichem Zugriff aus dem Netzwerk isoliert und geschützt werden.

Beim Erstellen von Windows Store-Apps kann ein Entwickler die folgenden Funktionen für die App definieren:

  • Vernetzung von privaten und beruflichen Anwendungen

    Bietet eingehenden und ausgehenden Zugriff auf Intranetnetzwerke, die der Benutzer als Heim- oder Firmennetzwerk festgelegt hat, oder wenn das Netzwerk über einen authentifizierten Domänencontroller verfügt. Der eingehende Zugriff auf kritische Ports ist immer gesperrt.

  • Internet (Client)

    Bietet ausgehenden Zugriff auf das Internet und nicht vertrauenswürdige Netzwerke wie denen auf Flughäfen und in Cafés (z B. Intranetnetzwerke, bei denen der Benutzer das Netzwerk als öffentlich festgelegt hat). Die meisten Apps, die Internetzugriff erfordern, sollten diese Funktion verwenden.

  • Internet (Client und Server)

    Bietet eingehenden und ausgehenden Zugriff auf das Internet und nicht vertrauenswürdige Netzwerke wie denen auf Flughäfen und in Cafés. Diese Funktion ist eine Obermenge der Funktion Internet (Client), und Internet (Client) muss bei Aktivierung dieser Funktion nicht aktiviert sein. Der eingehende Zugriff auf kritische Ports ist immer gesperrt.

  • Näherung

    Bietet Nahfeldkommunikation (Near-Field Communication, NFC) mit Geräten, die sich in unmittelbarer Nähe des Computers befinden. Die Näherung kann zum Senden von Dateien oder Herstellen einer Verbindung mit einer Anwendung auf einem Gerät in der Nähe verwendet werden.

Inhalt dieses Dokuments

Wenn Sie Windows Store-Apps in Ihrem Netzwerk isolieren möchten, müssen Sie mithilfe der Gruppenrichtlinie die Netzwerkisolationseinstellungen definieren und Firewallregeln für Windows Store-Apps erstellen.

  • Es ist ein Domänencontroller im Netzwerk installiert, und die Computer gehören der Windows-Domäne an.

  • Die Windows Store-App ist auf dem Clientcomputer installiert.

  • Die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) sind auf dem Clientcomputer installiert. Wenn Sie die folgenden Schritte auf dem Clientcomputer ausführen, können Sie die Windows Store-App beim Erstellen von Windows-Firewallregeln auswählen.

    noteHinweis
    Sie können die RSAT aus dem Microsoft Download Center herunterladen und auf Ihrem Computer installieren, auf dem Windows 8 ausgeführt wird.

Die Funktion Vernetzung von privaten und beruflichen Anwendungen ermöglicht den Zugriff auf Intranetressourcen. Administratoren können den Umfang des Intranets mithilfe von Gruppenrichtlinieneinstellungen definieren. Dadurch wird sichergestellt, dass Windows Store-Apps entsprechend auf die Intranetressourcen zugreifen können.

Die in Windows 8 enthaltene Windows Store-App "Internet Explorer" verwendet Netzwerkfunktionen, um die zu verwendende Zone zu ermitteln. Der Browser verwendet Netzwerkfunktionen, um sicherzustellen, dass er in der richtigen Sicherheitszone verwendet wird.

Ein Netzwerkendpunkt gilt unter folgenden Bedingungen als Teil des Heim- oder Firmennetzwerk:

  • Er ist Teil des lokalen Subnetzes eines vertrauenswürdigen Netzwerks.

    Privatbenutzer kennzeichnen ihr Netzwerk in der Regel als vertrauenswürdig. Lokale Computer werden so festgelegt.

  • Ein Computer befindet sich in einem Netzwerk und wird mit einem Domänencontroller authentifiziert.

    • Endpunkte innerhalb des Intranetadressbereichs werden als privat interpretiert.

    • Endpunkte innerhalb des lokalen Subnetzes werden als privat interpretiert.

  • Der Computer ist für DirectAccess konfiguriert, und der Endpunkt ist Teil des Intranetadressbereichs.

Der Intranetadressbereich besteht aus konfigurierten Active Directory-Websites und -Subnetzen, und er wurde mithilfe der Gruppenrichtlinie speziell für die Windows-Netzwerkisolation konfiguriert. Sie können die Verwendung von Active Directory-Websites und -Subnetzen mithilfe der Gruppenrichtlinie deaktivieren, indem Sie festlegen, dass die Subnetzdefinitionen autoritativ sind.

Alle Proxys, die Sie konfigurieren oder die automatisch mit der automatischen Proxykonfiguration (mithilfe des WPAD-Protokolls (Web Proxy Auto-Discovery, Webproxy-AutoErmittlung)) konfiguriert werden, werden aus der Intranetzone ausgeschlossen. Sie können Proxyadressen mithilfe der Gruppenrichtlinie hinzufügen.

Alle anderen Endpunkte, die die zuvor genannten Kriterien nicht erfüllen, werden als Endpunkte im Internet interpretiert.

  1. Öffnen Sie das Gruppenrichtlinienverwaltungs-Snap-In (gpmc.msc), und bearbeiten Sie die Standarddomänenrichtlinie.

  2. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor Computerkonfiguration, Richtlinien, Administrative Vorlagen und Netzwerk, und klicken Sie auf Netzwerkisolation.

  3. Doppelklicken Sie im rechten Bereich auf Private Netzwerksubnetze definieren.

  4. Klicken Sie im Dialogfeld Private Netzwerksubnetze definieren auf Aktiviert. Geben Sie im Textfeld Private Subnetze die privaten Subnetze für Ihr Intranet ggf. durch Kommas getrennt ein.

    Wenn das Contoso-Intranet beispielsweise als "10.0.0.0" mit einer Subnetzmaske "255.255.255.0" definiert wäre, würden Sie "10.0.0.0/24" in das Textfeld Private Subnetze eingeben.

  5. Doppelklicken Sie auf Subnetzdefinitionen sind autoritativ.

    Wenn die zuvor von Ihnen erstellten Subnetzdefinitionen die einzige Quelle für Ihre Subnetzdefinition sein sollen, klicken Sie auf Aktiviert. Verwenden Sie andernfalls die Standardeinstellung Nicht konfiguriert, damit Sie mithilfe lokaler Einstellungen oder mithilfe von Netzwerkisolationsheuristiken zusätzliche Subnetze hinzufügen können.

  1. Doppelklicken Sie auf Internet-Proxyserveradressen konfigurieren definieren. Klicken Sie auf Aktiviert, und geben Sie dann im Textfeld Domänenproxys die IP-Adressen der Internetproxyserver durch Semikolons getrennt ein.

  2. Doppelklicken Sie auf Proxyserveradressen des privaten Netzwerks (Intranet) definieren. Klicken Sie auf Aktiviert, und geben Sie dann im IP-Adresstextfeld die IP-Adressen der Intranetproxyserver durch Semikolons getrennt ein.

  3. Doppelklicken Sie auf Proxydefinitionen sind autoritativ.

    Wenn die zuvor von Ihnen erstellten Proxydefinitionen die einzige Quelle für Ihre Proxydefinition sein sollen, klicken Sie auf Aktiviert. Verwenden Sie andernfalls die Standardeinstellung Nicht konfiguriert, damit Sie mithilfe lokaler Einstellungen oder mithilfe von Netzwerkisolationsheuristiken zusätzliche Proxys hinzufügen können.

Von Windows Store-Apps können neben den zuvor erläuterten Netzwerkfunktionen viele weitere Funktionen deklariert werden. Beispielsweise können von Apps Funktionen für den Zugriff auf die Benutzeridentität, das lokale Dateisystem und bestimmte Hardwaregeräte deklariert werden.

Die folgende Tabelle enthält eine vollständige Liste der möglichen App-Funktionen:

 

Funktion Name Beschreibung

Internet (Client)

internetClient

Ihre ausgehende Internetverbindung.

Internet (Client und Server)

internetClientServer

Ihre Internetverbindung, einschließlich aus dem Internet eingehender unerwünschter Verbindungen. Die App kann über eine Firewall Informationen von Ihrem Computer oder an Ihren Computer senden. Sie müssen internetClient nicht deklarieren, wenn diese Funktion deklariert ist.

Vernetzung von privaten und beruflichen Anwendungen

privateNetworkClientServer

Ein Heim- oder Firmennetzwerk. Die App kann Informationen von Ihrem Computer oder an Ihren Computer und an andere Computer oder von anderen Computern im selben Netzwerk senden.

Dokumentbibliothekszugriff

documentsLibrary

Ihre Bibliothek "Dokumente", einschließlich der Funktion zum Hinzufügen, Ändern oder Löschen von Dateien. Das Paket kann nur auf im Manifest deklarierte Dateitypen zugreifen. Die App kann nicht auf Dokumentbibliotheken auf HomeGroup-Computern zugreifen.

Bildbibliothekszugriff

picturesLibrary

Ihre Bibliothek "Bilder", einschließlich der Funktion zum Hinzufügen, Ändern oder Löschen von Dateien. Diese Funktion umfasst auch Bildbibliotheken auf HomeGroup-Computern und Bilddateitypen auf lokal verbundenen Medienservern.

Videobibliothekszugriff

videosLibrary

Ihre Bibliothek "Videos", einschließlich der Funktion zum Hinzufügen, Ändern oder Löschen von Dateien. Diese Funktion umfasst auch Videobibliotheken auf HomeGroup-Computern und Videodateitypen auf lokal verbundenen Medienservern.

Musikbibliothekszugriff

musicLibrary

Ihre Bibliothek "Musik", einschließlich der Funktion zum Hinzufügen, Ändern oder Löschen von Dateien. Diese Funktion umfasst auch Musikbibliotheken auf HomeGroup-Computern und Musikdateitypen auf lokal verbundenen Medienservern.

Windows-Standardanmeldeinformationen

defaultWindowsCredentials

Ihre Windows-Anmeldeinformationen für den Zugriff auf ein Unternehmensintranet. Diese Anwendung kann Ihre Identität im Netzwerk annehmen.

Wechselmedien

removableStorage

Ein Wechselmedium wie eine externe Festplatte, ein USB-Speicherstick oder ein tragbares MTP-Gerät, einschließlich der Funktion zum Hinzufügen, Ändern oder Löschen bestimmter Dateien. Dieses Paket kann nur auf im Manifest deklarierte Dateitypen zugreifen.

Freigegebene Benutzerzertifikate

sharedUserCertificates

Software- und Hardwarezertifikate oder eine Smartcard, mit denen Sie von der App identifiziert werden. Diese Funktion kann von einem Arbeitgeber, einer Bank oder Behörden verwendet werden, um Sie zu identifizieren.

Ort

location

Bietet Zugriff auf den aktuellen Ort des Benutzers.

Mikrofon

microphone

Bietet Zugriff auf den Audiofeed des Mikrofons.

Nahfeldnäherung

proximity

Erforderlich für die Nahfeldkommunikation (Near-Field Communication, NFC) zwischen Geräten in unmittelbarer Nähe. NFC kann zum Senden von Dateien oder Herstellen einer Verbindung mit einer Anwendung auf einem Gerät in der Nähe verwendet werden.

Textnachrichten

sms

Bietet Zugriff auf die Textnachrichtenfunktionalität des Computers.

Webcam

webcam

Bietet Zugriff auf den Videofeed der Webcam.

Sonstige Geräte (durch GUIDs dargestellt)

<GUID>

Umfasst spezielle Geräte und tragbare Windows-Geräte.

Unter Windows Server 2012 kann eine Windows-Firewallrichtlinie erstellt werden, die für eine Gruppe von Apps gilt, von denen eine bestimmte Funktion verwendet wird, oder die für eine bestimmte Windows Store-App gilt.

Sie könnten beispielsweise eine Windows-Firewallrichtlinie erstellen, um den Internetzugriff für Apps, die die Dokumentbibliotheksfunktion aufweisen, im Netzwerk zu blockieren.

  1. Öffnen Sie das Snap-In für die Gruppenrichtlinien-Verwaltung (gpmc.msc).

  2. Klicken Sie im linken Bereich mit der rechten Maustaste auf Ihren Domänennamen, und klicken Sie dann auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen.

  3. Geben Sie im Textfeld Name einen Namen für das Gruppenrichtlinienobjekt ein, und klicken Sie dann auf OK.

  4. Klicken Sie mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten.

  5. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und Windows-Firewall mit erweiterter Sicherheit, und klicken Sie auf Windows-Firewall mit erweiterter Sicherheit – LDAP://…

  6. Klicken Sie mit der rechten Maustaste auf Ausgehende Regeln, und klicken Sie dann auf Neue Regel.

  7. Klicken Sie auf Benutzerdefiniert, und klicken Sie dann auf Weiter.

  8. Klicken Sie auf den Seiten Programm, Protokolle und Ports und Bereich auf Weiter.

  9. Stellen Sie auf der Seite Aktion sicher, dass Verbindung blockieren ausgewählt ist, und klicken Sie dann auf Weiter.

  10. Klicken Sie auf der Seite Profil auf Weiter.

  11. Geben Sie auf der Seite Name einen Namen für Ihre Regel ein, und klicken Sie dann auf Fertig stellen.

  12. Klicken Sie im rechten Bereich mit der rechten Maustaste auf die neue Regel, und klicken Sie dann auf Eigenschaften.

  13. Klicken Sie auf die Registerkarte Lokale Prinzipale wählen Sie das Kontrollkästchen Nur Verbindungen von diesen Benutzern zulassen aus, und klicken Sie auf Hinzufügen.

  14. Klicken Sie auf Eigenschaften des Anwendungspakets und anschließend auf OK.

  15. Klicken Sie im Dialogfeld Funktionen auswählen auf ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\Dokumentbibliothek und dann auf OK.

  16. Klicken Sie unter Remote IP-Adressen auf die Registerkarte Bereich und dann auf Hinzufügen.

  17. Klicken Sie auf Vordefinierte Computersätze, wählen Sie Internet aus, und klicken Sie auf OK.

    Dadurch wird der Bereich der Regel so festgelegt, dass Datenverkehr für Internetcomputer blockiert wird.

  18. Klicken Sie auf die Registerkarte Programme und Dienste, und klicken Sie im Bereich Anwendungspakete auf Einstellungen.

  19. Klicken Sie auf Nur auf Anwendungspakete anwenden und dann auf OK.

    ImportantWichtig
    Sie müssen dies tun, um sicherzustellen, dass die Regel nur auf Windows Store-Apps und nicht auf andere Anwendungen und Programme angewendet wird. Anwendungen und Programme, die nicht aus dem Windows Store stammen, deklarieren standardmäßig alle Funktionen, und diese Regel würde auf sie angewendet werden, wenn Sie sie nicht auf diese Weise konfigurieren.

  20. Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.

  21. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

  22. Stellen Sie im Gruppenrichtlinienverwaltungs-Snap-In sicher, dass das neue Gruppenrichtlinienobjekt ausgewählt ist, und wählen Sie im rechten Bereich unter Sicherheitsfilterung die Option Authentifizierte Benutzer aus. Klicken Sie auf Entfernen und dann auf OK.

  23. Klicken Sie unter Sicherheitsfilterung auf Hinzufügen.

  24. Geben Sie domain computers in das Textfeld ein, und klicken Sie dann auf OK.

  25. Schließen Sie das Gruppenrichtlinienverwaltungs-Snap-In.

Verwenden Sie das folgende Verfahren, wenn Sie den Intranetzugriff für eine bestimmte Medienfreigabe-App im Netzwerk blockieren möchten.

  1. Öffnen Sie das Snap-In für die Gruppenrichtlinien-Verwaltung (gpmc.msc).

  2. Klicken Sie im linken Bereich mit der rechten Maustaste auf Ihren Domänennamen, und klicken Sie dann auf Gruppenrichtlinienobjekt hier erstellen und verknüpfen.

  3. Geben Sie im Textfeld Name einen Namen für das Gruppenrichtlinienobjekt ein, und klicken Sie dann auf OK.

  4. Klicken Sie mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten.

  5. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und Windows-Firewall mit erweiterter Sicherheit, und klicken Sie auf Windows-Firewall mit erweiterter Sicherheit – LDAP://...

  6. Klicken Sie mit der rechten Maustaste auf Ausgehende Regeln, und klicken Sie dann auf Neue Regel.

  7. Klicken Sie auf Benutzerdefiniert, und klicken Sie dann auf Weiter.

  8. Klicken Sie auf den Seiten Programm, Protokolle und Ports und Bereich auf Weiter.

  9. Stellen Sie auf der Seite Aktion sicher, dass Verbindung blockieren ausgewählt ist, und klicken Sie dann auf Weiter.

  10. Klicken Sie auf der Seite Profil auf Weiter.

  11. Geben Sie auf der Seite Name einen Namen für Ihre Regel ein, und klicken Sie dann auf Fertig stellen.

  12. Klicken Sie im rechten Bereich mit der rechten Maustaste auf die neue Regel, und klicken Sie dann auf Eigenschaften.

  13. Klicken Sie auf die Registerkarte Lokale Prinzipale wählen Sie das Kontrollkästchen Nur Verbindungen von diesen Benutzern zulassen aus, und klicken Sie auf Hinzufügen.

  14. Klicken Sie auf Eigenschaften des Anwendungspakets und anschließend auf OK.

  15. Klicken Sie im Dialogfeld Funktionen auswählen auf ZERTIFIZIERUNGSSTELLE FÜR ANWENDUNGSPAKETE\Heim- oder Firmennetzwerk und dann auf OK.

  16. Klicken Sie unter Anwendungspakete auf die Registerkarte Programme und Dienste und dann auf Einstellungen.

  17. Klicken Sie auf Auf das folgende Anwendungspaket anwenden, wählen Sie die App im Textfeld aus, und klicken Sie dann auf OK.

  18. Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.

  19. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

  20. Stellen Sie in der Gruppenrichtlinienverwaltung sicher, dass das neue Gruppenrichtlinienobjekt ausgewählt ist, und wählen Sie im rechten Bereich unter Sicherheitsfilterung die Option Authentifizierte Benutzer, klicken Sie auf Entfernen und dann auf OK.

  21. Klicken Sie unter Sicherheitsfilterung auf Hinzufügen.

  22. Geben Sie domain computers in das Textfeld ein, und klicken Sie dann auf OK.

  23. Schließen Sie die Gruppenrichtlinienverwaltung.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft