Как в Windows 10 Pro заблокировать Windows Store с помощью GPO
Недавно Microsoft анонсировала, что начиная с версии 1511 Windows 10 в редакции Pro, администраторы не смогут более заблокировать Магазин приложений Windows (Windows Store) с помощью параметра групповой политики Turn off the Store application, как это было возможно выполнить в первоначальном релизе Windows 10 (выпущенном прошлым летом). Возможность отключить Windows Store через GPO будет поддерживаться только в редакциях Windows 10 Enterprise и Education, и в Windows 8 Enterprise и Pro, как ни странно.
Почему Microsoft накладывает такие ограничения на организации малого и среднего бизнеса, которые являются преимущественными пользователями редакции Windows 10 Pro, не понятно. Однако и в SMB сегменте, у администраторов может появится необходимость заблокировать Магазин приложений в профессиональном издании Windows 10. Попробуем обходные пути блокировки Windows Store для этой версии ОС.
Полное удаление всех современных приложений
Администратор может удалить сразу все современные приложения Windows 10, в том числе Window Store. Способ действенный, но не гарантирует что при очередном обновлении системы магазин приложений не появится снова.
Блокировка Window Store с помощью Software Restriction Policies
Приложение Window Store можно заблокировать как и любое другое приложение с помощью технологии AppLocker, но AppLocker в Pro редакции Windows 10 не поддерживается. Поэтому придется воспользоваться более старой технологией — Software Restriction Policies.
Для этого в редакторе GPO перейдем в раздел Computer Configuration -> Policies ->Windows Settings ->Security Settings -> Software Restriction Policies
Затем в разделе Additional Rules создадим новое запрещающее правило для пути %programfiles%WindowsAppsMicrosoft.WindowsStore*
Теперь при попытке запустить Windows Store, его окно моментально блокируется и закрывается.
Блокировка Магазин приложений с помощью брандмауэра
Еще один действенный способ запретить пользователям запускать Windows Store – запретить ему сетевой доступ посредством блокирующего правила в брандмауэре Windows. Этот сценарий также может быть реализован посредством групповой политики.
В командой строке перейдем в каталог c:Program FilesWindowsApps
cd "c:Program FilesWindowsApps"
Выведем список папок, в названии которые есть ключевое слово Store
dir | find "Store"
и скопируем строку, которая выглядит примерно так Microsoft.WindowsStore_2015.10.5.0_x64__8wekyb3d8bbwe
С помощью редактора GPO перейдем в раздел GPO: Computer Configuration ->Windows settings -> Security Settings -> Windows Firewall with Advances Security, в котором создадим новое исходящее правило (Outbound Rules).
Для программы с полным путем %programfiles%WindowsAppsMicrosoft.WindowsStore_2015.10.5.0_x64__8wekyb3d8bbweWinStore.Mobile.exe
Указываем, что сетевые соединения для этой программы нужно блокировать.
Даем правилу имя и сохраняем его.
Нам осталось выполнить обновление политики командой gpupdate /force и попробовать запустить приложение Store.
Как вы видите, сетевой доступ для него заблокирован.
Примечание. Уже в процессе написания статьи обнаружил, что в списке правил брандмауэре уже есть правила доступа для Windows Store. Таким образом, достаточно будет отключить эти правила следующей PowerShell командой:
Get-NetFirewallRule -DisplayGroup ‘Store’ | Set-NetFirewallRule -Action Block
Обратная операция, разрешающая доступ для Store:
Get-NetFirewallRule -DisplayGroup ‘Store’ | Set-NetFirewallRule -Action Allow
Групповые политики
Как в Windows 10 Pro заблокировать Windows Store с помощью GPO