Windowspage - Windows-Paket-Manager - Zonen für die Installation der MSIX-Pakete zulassen / blockieren (ab 1.10)

Detailbeschreibung

Betriebssystem: Windows 10, Windows 11

Damit Benutzer mit dem Windows-Paket-Manager ("winget.exe") MSIX-Pakete (Apps, Spiele, usw.) nur von bestimmten sicheren Quellen installieren können, kann eine Installation auf bestimmte URL-Sicherheitszonen begrenzt werden. Hierfür wird die URL oder ein "Mart-of-the-Web" (MotW) (auch als zusätzliche Metadaten "Zone.Identifier" bekannt) ausgewertet. Wenn mehrere URLs beteiligt sind, werden alle berücksichtig (z. B. bei Verwendung einer .appinstaller-Datei). Sofern die Daten aus einer nicht zugelassenen Zone stammen oder verweisen, dann erhält der Benutzer eine entsprechende Meldung.

Normalerweise können Benutzer MSIX-Pakete aus einer beliebigen Zone installieren. Ausnahme: "Nicht vertrauenswürdig Websites". Mit dieser Einstellung lässt sich die Installation auch von dieser Zone aktivieren. Dies wird jedoch nicht empfohlen und sollte nur in besonders geschützten Umgebungen zugelassen sein.

So geht's:

Starten Sie "%windir%\regedit.exe" bzw. "%windir%\regedt32.exe".
Zoneneinschränkung aktivieren / deaktivieren:
- Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
  HKEY_LOCAL_MACHINE
  Software
  Policies
  Microsoft
  Windows
  AppInstaller
  Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
- Doppelklicken Sie auf den Schlüssel "EnableMsixAllowedZones".
  Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "EnableMsixAllowedZones" ein.
- Ändern Sie den Wert ggf. von "0" (beliebige Zonen) auf "1" (nur zugelassene Zonen).
Zonen zulassen / blockieren:
- Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
  HKEY_LOCAL_MACHINE
  Software
  Policies
  Microsoft
  Windows
  AppInstaller
  MsixAllowedZones
  Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
- Zone "Lokaler Computer" zulassen / blockieren:
  - Doppelklicken Sie auf den Schlüssel "LocalMachine".
    Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "LocalMachine" ein.
  - Ändern Sie den Wert ggf. auf "0" (blockieren) oder "1" (zulassen).
- Zone "Intranet" zulassen / blockieren:
  - Doppelklicken Sie auf den Schlüssel "Intranet". (REG_DWORD)
    Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen.
  - Ändern Sie den Wert ggf. auf "0" (blockieren) oder "1" (zulassen).
- Zone "Vertrauenswürdige Websites" zulassen / blockieren:
  - Doppelklicken Sie auf den Schlüssel "TrustedSites". (REG_DWORD)
    Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen.
  - Ändern Sie den Wert ggf. auf "0" (blockieren) oder "1" (zulassen).
- Zone "Internet" zulassen / blockieren:
  - Doppelklicken Sie auf den Schlüssel "Internet". (REG_DWORD)
    Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen.
  - Ändern Sie den Wert ggf. auf "0" (blockieren) oder "1" (zulassen).
- Zone "Nicht vertrauenswürdige Websites" zulassen / blockieren:
  - Doppelklicken Sie auf den Schlüssel "UntrustedSites". (REG_DWORD)
    Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen.
  - Ändern Sie den Wert ggf. auf "0" (blockieren) oder "1" (zulassen).
Die Änderungen werden ggf. erst nach einem Neustart aktiv.

Hinweise:

EnableMsixAllowedZones:
0 = Alle Benutzer des Geräts können MSIX-Pakete aus einer beliebigen Zone installieren (Ausnahme von "Nicht vertrauenswürdig"). (Standard)
1 = Alle Benutzer des Geräts können MSIX-Pakete nur aus konfigurierten zugelassenen Zonen (z. B. "Intranet", "Vertrauenswürdig", "Internet") installieren.
LocalMachine:
0 = MSIX-Pakete, die aus der Zone "Lokaler Computer" stammen, können nicht installiert werden.
1 = MSIX-Pakete, die aus der Zone "Lokaler Computer" stammen, können installiert werden.
Intranet:
0 = MSIX-Pakete, die aus der Zone "Intranet" stammen, können nicht installiert werden.
1 = MSIX-Pakete, die aus der Zone "Intranet" stammen, können installiert werden.
TrustedSites:
0 = MSIX-Pakete, die aus der Zone "Vertrauenswürdige Sites" stammen, können nicht installiert werden.
1 = MSIX-Pakete, die aus der Zone "Vertrauenswürdige Sites" stammen, können installiert werden.
Internet:
0 = MSIX-Pakete, die aus der Zone "Internet" stammen, können nicht installiert werden.
1 = MSIX-Pakete, die aus der Zone "Internet" stammen, können installiert werden.
UntrustedSites:
0 = MSIX-Pakete, die aus der Zone "Nicht vertrauenswürdige Websites" stammen, können nicht installiert werden.
1 = MSIX-Pakete, die aus der Zone "Nicht vertrauenswürdige Websites" stammen, können installiert werden.
Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht mehr richtig arbeiten.

Versionshinweis:

Diese Einstellung gilt erst ab Windows 10 Version 1809 und ab Windows-Paket-Manager Version 1.10.

Querverweis:

Windows-Paket-Manager - Paketinstallation und Verwendung der App verhindern

Weitere Informationen:

https://learn.microsoft.com/de-de/windows/msix/app-installer/app-installer-security-features

Zum Seitenanfang

E-Mail

Drucken