Na  windows 10 nelze od verze 1511 politikami vypnout přístup k windows storu. Viz: https://support.microsoft.com/cs-cz/kb/3135657 Tedy, samozřejmě, pokud neprovozujete verzi enterprise, nebuďme na microsoft zase tak zlí. Verze „Pro“ přece pro firemní a podnikové použití není vůbec stavěná…

Nechť vás nemýlí návody využívající AppLocker, jako třeba tady, http://mspoweruser.com/microsoft-admins-cant-disable-windows-store-windows-10-pro-group-policy/ páč od 1511 nahoru se opět applocker omezuje jen na enterprise edici: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/requirements-to-use-applocker – sice je to tam psáno trochu krkolomně, ale význam je jasný: „Ostatně soudíme, že windows store musí používat všichni, kdo si  nezaplatí za to, aby nemohli“.

Pokud se do politik podíváte, nenechte se zmást položkou: Administrative templates\Windows components\store\Turn off the store application, je jedno jak ji nastavíte, stejně nefunguje.
Kupodivu funguje položka: Administrative templates\Windows components\store\Disable all apps from Windows Store, ale ta zablokuje i jeden z vůbec nejdůležitějších programů na windows 10 vůbec – kalkulačku. A to je samozřejmě nežádoucí.
A navíc, nikdo neví, kdy i tato položka přestane fungovat.

Co tedy s tímto milým dárečkem od microsoftu?

Tedy, ne, že by stor byla nějaká šílená bezpečnostní díra a vůbec, co je adminům do toho, jestli si uživatelé v pracovní době hrají karty nebo nějaké xboxí gamesky, že ano.
Ale přeci jen, jsou firmy, kde je politika pro software na počítačích striktnější a není žádoucí, aby si uživatelé prostě jen tak otevřeli store a s pomocí jakéhosi hotmailového účtu natahali do počítače mraky aplikací.
A ani takové firmy nechtějí utrácet 8k na počítač za enterprise udpate jen za to, aby mohli takové řádění uživatelům zatrhnout.

Naštěstí řešení tu je.

Jmenuje se Software Restriction Policies a světe div se, nachází se ve výbavě windowsích politik už od verze 2003 nebo možná už od dvoutisícovek, ale tím si nejsem až tak jistý, tam jsem tuto vlastnost ještě nevyužíval.

K čemu jsou tyto politiky dobré?
Dokážete pomocí nich eliminovat spouštění programů z umístění, která se vám nelíbí. Např. u striktně omezených provozů lze ponechat mezi povolenými cestami ke spouštění jen defaultní windowsová umístění plus případně nějaké sdílené aplikace a vše ostatní lze zakázat.
Nebo můžete obecně vše povolit, a zakázat jen něco – a to je právě náš případ, kdy chceme omezit jen a pouze ten ošklivý stór. No a xbox, samozřejmě.

Blokace spouštění Windows storu pomocí GPO:

  • Computer/user policy (lze konfigurovat obojí)
    • Policies
      • Windows Settings
        • Security Settings
          • Software Restriction Policies
            • Enforcement =
              All software except libraries/All software files – na tom až tak nesejde,
              All users, případně můžete můžete přidat i výjimku pro lokání adminy atp.
            • Designates file types =  ponechte v defaultu a přidejte:
              • winmd
              • exe
              • xml
              • config
            • Trusted publishers = nedefinováno.
            • Security Levels:
              • Unrestricted = default
            • Aditional Rules
              • new path rule = %programfiles%\WindowsApps\Microsoft.WindowsStore*; Disallowed
              • new path rule = %programfiles%\WindowsApps\Microsoft.Xbox*; Disallowed

 

A to je kupodivu vše, co stačí k vyblokování storu.
Škoda jen, že windows pěkně uživateli neřeknou, že program je blokován, jen to nepříjemně problikne, takže to vypadá, že jen něco nefunguje…
Tak změna – pokud politiku nastavíte na počítač, tak to korektně nahlásí, že správce aplikaci zablokoval.

Na druhou stranu to má ten příjemný efekt, že co necháte na pokoji, to fungovat bude – kalkulačka, edge a další nová křemíková zvěrstva.

Podotýkám, že pokud nastavíte politiku na uživatele, bude bez problémů možné doinstalovat aplikace, které si windows tak nějak předpřipravily a prskly ikonky do nabídky start. To může být užitečné, ale taky to může být k vzteku.

Tak. Teď ještě půjdu vyzkoušet, zda to přežilo anniversary update.

Stejně si myslím, že by se měly všechny ty internety zakázat!!!!