Einschränken von Windows 10 auf spezifische Apps

  • Artikel

Hier erfahren Sie, wie Sie ein Gerät mit Windows 10 Enterprise oder Windows 10 Education konfigurieren können, damit Benutzer nur einige spezifische Apps ausführen können. Das Ergebnis ist mit einem Kioskgerät, vergleichbar. Es sind jedoch mehrere Apps verfügbar. Beispielsweise können Sie einen Bibliothekscomputer so einrichten, dass Benutzer den Katalog durchsuchen und im Internet browsen können, jedoch keine weiteren Apps ausführen oder die Einstellungen des Computers ändern können.

Sie können Benutzer mithilfe von AppLocker auf eine spezifische Gruppe von Apps auf einem Gerät mit Windows 10 Enterprise oder Windows 10 Education beschränken. AppLocker-Regeln geben an, welche Apps auf dem Gerät ausgeführt werden dürfen.

AppLocker-Regeln sind in Sammlungen auf der Grundlage des Dateiformats organisiert. Wenn für eine bestimmte Regelsammlung keine AppLocker-Regeln vorhanden sind, ist die Ausführung aller Dateien mit diesem Dateiformat zulässig. Wenn jedoch für eine bestimmte Regelsammlung eine AppLocker-Regel erstellt wird, können nur die von einer Regel ausdrücklich zugelassenen Dateien ausgeführt werden. Weitere Informationen finden Sie unter Funktionsweise von AppLocker.

In diesem Thema wird beschrieben, wie Apps auf einem lokalen Gerät gesperrt werden. Mit AppLocker können Sie auch Regeln für Anwendungen in einer Domäne über Gruppenrichtlinien einrichten.

installieren erstellen Sperrmodus anpassen

Installieren von Apps

Installieren Sie zunächst die gewünschten Apps auf dem Gerät für das/die Ziel-Benutzerkonto/-konten. Dies funktioniert für Store und Win32. Bei Store-Apps müssen Sie sich als der jeweilige Benutzer für die zu installierende App anmelden. Bei Win32-können Sie eine App für alle Benutzer installieren, ohne dass Sie sich dazu bei dem jeweiligen Konto anmelden müssen.

Verwenden von AppLocker zum Einrichten von Regeln für Apps

Nach dem Sie die gewünschten Apps installiert haben, richten Sie AppLocker-Regeln ein, um nur bestimmte Apps zuzulassen und alle anderen zu sperren.

  1. Führen Sie die Lokale Sicherheitsrichtlinie (secpol.msc) als Administrator aus.

  2. Wechseln Sie zu Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > AppLocker, und wählen Sie Regelerzwingung konfigurieren.

    Konfigurieren der Regelerzwingung

  3. Markieren Sie Konfiguriert unter Ausführbare Regeln, und klicken Sie dann auf OK.

  4. Klicken Sie mit der rechten Maustaste auf Ausführbare Regeln, und klicken Sie dann auf Regeln automatisch generieren.

    Automatisches Generieren von Regeln

  5. Wählen Sie den Ordner mit den Apps, die Sie zulassen möchten, oder wählen Sie C:\, um alle Apps zu analysieren.

  6. Geben Sie einen Namen für die Identifizierung dieses Regelsatzes ein, und klicken Sie dann auf Weiter.

  7. Klicken Sie auf der Seite Regeleinstellungen auf Weiter. Haben Sie etwas Geduld, es kann einen Moment dauern, die Regeln zu generieren.

  8. Klicken Sie auf der Seite Regeln prüfen auf Erstellen. Der Assistent erstellt dann einen Regelsatz, der die installierten Apps zulässt.

  9. Lesen Sie die Meldung, und klicken Sie auf Ja.

    Standardmäßige Regelwarnung

  10. (optional) Wenn Sie eine Regel auf eine bestimmte Gruppe von Benutzern anwenden möchten, klicken Sie mit der rechten Maustaste auf die Regel, und wählen Sie Eigenschaften. Verwenden Sie dann das Dialogfeld, um einen anderen Benutzer oder eine andere Benutzergruppe auszuwählen.

  11. (optional) Wenn die Regeln für Apps generiert wurden, die nicht ausgeführt werden sollen, können Sie diese löschen, indem Sie mit der rechten Maustaste auf die Regel klicken und Löschen auswählen.

  12. Bevor AppLocker Regeln durchsetzt, muss der Dienst Anwendungsidentität aktiviert werden. Damit der Dienst „Anwendungsidentität“ bei der Zurücksetzung automatisch gestartet wird, öffnen Sie eine Eingabeaufforderung, und führen Sie Folgendes aus:

    sc config appidsvc start=auto

  13. Starten Sie das Gerät neu.

Andere Einstellungen zum Sperren

Zusätzlich zur Angabe der Apps, die Benutzer ausführen können, sollten Sie auch einige Einstellungen und Funktionen auf dem Gerät einschränken. Um die Sicherheit zu erhöhen, empfehlen wir Ihnen, die folgenden Konfigurationsänderungen am Gerät vorzunehmen:

  • Entfernen Sie Alle Apps.

    Wechseln Sie zu Gruppenrichtlinien-Editor > Benutzerkonfiguration > Administrative Vorlagen\Startmenü und Taskleiste\Liste „Alle Programme“ aus dem Menü „Start“ entfernen.

  • Verbergen Sie die Funktion Erleichterte Bedienung auf dem Anmeldebildschirm.

    Wechseln Sie zu Systemsteuerung > Erleichterte Bedienung > Center für erleichterte Bedienung, und deaktivieren Sie alle barrierefreien Anwendungen.

  • Deaktivieren Sie den Netzschalter.

    Wechseln Sie zu Energieoptionen > Auswählen, was beim Drücken des Netzschalters geschehen soll, ändern Sie die Einstellung in Nichts, und wählen Sie dann Änderungen speichern.

  • Deaktivieren Sie die Kamera.

    Wechseln Sie zu Einstellungen > Datenschutz > Kamera, und deaktivieren Sie Apps die Verwendung meiner Kamera erlauben.

  • Deaktivieren Sie App-Benachrichtigungen auf dem Sperrbildschirm.

    Wechseln Sie zu Gruppenrichtlinien-Editor > Computerkonfiguration > Administrative Vorlagen\System\Anmeldung\Anwendungsbenachrichtigungen auf gesperrtem Bildschirm deaktivieren.

  • Deaktivieren Sie Wechselmedien.

    Wechseln Sie zu Gruppenrichtlinien-Editor > Computerkonfiguration > Administrative Vorlagen\System\Geräteinstallation\Einschränkungen bei der Geräteinstallation. Überprüfen Sie anhand der Richtlinieneinstellungen in Einschränkungen bei der Geräteinstallation, welche Einstellungen in Ihrem Fall anwendbar sind.

    Hinweis  

    Um zu verhindern, dass sich diese Richtlinie auf ein Mitglied der Administratorgruppe auswirkt, aktivieren Sie unter Einschränkungen bei der Geräteinstallation die Option Administratoren das Außerkraftsetzen der Richtlinien unter „Einschränkungen bei der Geräteinstallation“ erlauben.

     

Weitere Informationen zum Sperren von Features finden Sie unter Anpassungen für Windows 10 Enterprise.

Anpassen des Startbildschirmlayouts für das Gerät

Konfigurieren Sie das Menü „Start“ auf dem Gerät so, dass nur Kacheln für die zugelassenen Apps angezeigt werden. Sie nehmen die Änderungen manuell vor, exportieren das Layout in eine XML-Datei und wenden dann diese Datei in Geräten an, um zu verhindern, dass Benutzer Änderungen vornehmen. Eine Anleitung hierzu finden Sie unter Verwalten der Startlayoutoptionen von Windows 10.