Was die Windows-Einstellung „Apps nur aus dem Store installieren“ nicht bringt

Hin und wieder erreicht uns die Frage, ob es der Sicherheit von Windows-Installationen zuträglich ist, wenn man in den Einstellungen festlegt, dass Apps nicht von überall, sondern nur aus dem Microsoft-Store installiert werden dürfen. Immerhin könnte man vermuten, dass es sich um eine Art Positivliste handelt: Alles, was nicht aus dem Store kommt, kann nicht ausgeführt werden. Wir haben das für ein aktuelles Windows 11 Home in Version 22H2 ausgetestet.

Zunächst zur Option, um die es hier geht. Sie befindet sich in der Einstellungen-App unter „Apps/Erweiterte Einstellungen für Apps“. Dort ist die Funktion „Quellen zum Abrufen von Apps auswählen“ serienmäßig auf „Überall“ eingestellt, doch man kann auch „Nur Microsoft-Store“ als Installationsquelle festlegen. Schaltet man diese Einschränkung scharf, gilt sie systemweit. Man könnte sie von einem Benutzerkonto mit Administratorrechten aus aktivieren und (so zumindest die Idee) damit bewirken, dass andere PC-Benutzer nur Software installieren, die Microsoft in den Store gelassen hat, und die daher einem Mindestmaß an Kontrolle unterliegt. Microsoft empfiehlt das „zum Schutz Ihren PC und sorgen Sie dafür, dass er reibungslos läuft“ – Zitat aus der Hilfefunktion, die sich per Klick auf „Hilfe anfordern“ in den erweiterten App-Einstellungen öffnet. Aber wie verlässlich ist diese Einschränkung? Und: Taugt das als Schutz vor Malware?