Windows 10: Zugriff auf Standort, Kamera und Mikrofon per GPO einschränken

    Einstellungen für die Privatsphäre in Windows 10Microsoft kündigte für das Fall Creators Update (Version 1709) eine weitere Änderung zum Schutz der Privat­sphäre an. Apps soll es dann per Vorein­stellung nicht mehr erlaubt sein, auf be­stimmte Geräte und Daten des Systems zuzu­greifen. Dies kann man aber schon heute per GPO zentral durch­setzen.

    In einem Beitrag auf dem Windows-Blog erläutert der Hersteller, wie er den Benutzern mehr Kon­trolle über ihre Privat­sphäre geben will. Zum einen gewährt das Setup des Betriebs­systems künftig einen besseren Einblick in die relevanten Optionen. Außerdem kann man von dort gleich zu den betreffenden Einstellungen verzweigen und diese sofort anpassen.

    Standardmäßig kein Zugriff

    Bei dieser Gelegenheit verabschiedet sich Microsoft vom bisher vorherr­schenden Opt-out, das allen Apps automatisch den Zugriff auf die Kamera, das Mikrofon oder den Kalender gestattete. Wem das nicht gefiel, der musste den Anwendungen diese Rechte in der App Einstellungen explizit entziehen.

    Bisher räumte Windows 10 allen Apps standardmäßig den Zugriff auf die Kamera ein.

    Künftig soll es umgekehrt sein, wobei Apps bei ihrem Start nach der jeweiligen Erlaubnis fragen. Bisher war dies nur beim Zugriff auf den Standort der Fall.

    Zentrales Management über Gruppenrichtlinien

    In zentral verwalteten Umgebungen wird man die Konfiguration dieser sensiblen Einstellungen meist nicht dem User überlassen, der einer App möglicher­weise vorschnell eine Berechtigung einräumt. Stattdessen empfiehlt sich hier der Einsatz von Gruppen­richtlinien, die auch schon in bisherigen Versionen von Windows 10  eine restriktive Regelung durchsetzen können.

    Nach Anwendung des GPO bleibt die Kamera für alle außer den zugelassenen Apps gesperrt.

    Umgekehrt kann natürlich auch der Fall eintreten, wo eine App auf ein bestimmtes Gerät zugreifen soll und der User ihr das verwehrt. Auch ein solches Whitelisting ist mit Hilfe eines GPO möglich.

    Einstellungen auch für Kontakte, Kalender, E-Mails

    Alle in diesem Zusammenhang relevanten Einstellungen finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => App-Datenschutz. Sie betreffen unter anderem den Zugriff auf Kamera, Mikrofon, Position, Bewegungsdaten, Kontakte oder E-Mails.

    GPO-Einstellungen für den Zugriff von Apps auf Kamera, Mikrofon oder Kalender

    Der GPO-Editor zeigt für jede Option einen Dialog an, der nach dem gleichen Muster aufgebaut ist. Aktiviert man die Einstellung, dann kann man einen Standard für alle Apps vorgeben. Möglich Werte sind hier Benutzer hat die Kontrolle, Zulassen erzwingen und Verweigern erzwingen.

    Über Gruppenrichtlinien kann man einen Standard für alle Apps vorgeben

    Black- und Whitelisting von Apps

    Sollte es darüber hinaus erforderlich sein, bestimmte Apps von diesem Vorgabe­wert auszunehmen, dann bieten sich dafür erneut die 3 genannten Möglichkeiten, nämlich es dem Benutzer zu überlassen, den Zugriff zu erlauben oder zu verweigern.

    Apps, die von der allgemeinen Vorgabe ausgenommen werden sollen, kann man separat eintragen.

    Für jede dieser Option ist ein Textfeld vorgesehen, in das man die Namen der Apps eintragen muss. Genau genommen sind hier die Paketfamilien­namen gefragt. Diese kann man relativ einfach über PowerShell ermitteln:

    Get-AppxPackage | select Name, PackageFamilyName

    PackageFamilyName über PowerShell anzeigen lassen

    Bei Bedarf kann man die Liste noch weiter einschränken, indem man dem Parameter Name einen entsprechenden Wert mitgibt:

    Get-AppxPackage -name *bing* | select Name, PackageFamilyName

    Wenn man mehrere Apps in eines der Felder eingeben möchte, schreibt man jeden PackageFamilyName in eine eigene Zeile.

    2 Kommentare

    Bild von Patrick
    Patrick sagt:
    18. September 2017 - 14:27

    Ist für die Richtlinien zum Datenschutz die Enterprise-Edition notwendig oder reicht hier auch die Professional?

    Bild von Wolfgang Sommergut
    18. September 2017 - 14:57

    Die hier genannten Richtlinien lassen sich auch auf die Pro Edition anwenden.