Anwendungen mit MSIX App Attach in Windows 11 isolieren

MSIX App Attach ist zur Schlüsselkomponente geworden. Für alle, die Anwendungen unter Windows 11 und in Umgebungen wie Azure Virtual Desktop (AVD) modern isolieren und bereitstellen möchten. Wenn Sie jahrelang mit riesigen Images, App-V, MSI-Installern oder endlosen Startskripten gekämpft haben, ermöglicht Ihnen diese Arbeitsweise, Betriebssystem, Anwendungen und Benutzerdaten klar zu trennen und alles deutlich effizienter zu verwalten.

In diesem Artikel werden wir sammeln, ordnen und erweitern Dieser Kurs vermittelt Ihnen alle relevanten Informationen zu MSIX, App Attach, Win32-Anwendungsisolation, Tests außerhalb von AVDs sowie Best Practices für die Paketierung mit Visual Studio und Tools wie dem MSIX Packaging Tool oder MSIXMGR. Ziel ist es, Ihnen ein umfassendes Verständnis zu vermitteln: von der Definition von MSIX über die Erstellung von Paketen, deren Konvertierung in VHDX/CIM und lokale Tests bis hin zur Integration in Azure Virtual Desktop und dem Zusammenspiel all dessen mit Anwendungsisolation und anderen Sicherheitsmechanismen von Windows 11.

Was ist MSIX und warum ist es so wichtig für App Attach?

MSIX ist Microsofts modernes Paketformat Für Windows-Anwendungen entwickelt, um herkömmliche .exe-, .msi-, App-V-, ClickOnce- und ähnliche Formate schrittweise zu ersetzen. Es ist nicht einfach nur ein weiteres Installationsprogramm: Es kombiniert traditionelle Installationskonzepte mit Anwendungsvirtualisierung und Containern und erzeugt so saubere, zuverlässige und wartungsfreundliche Pakete für lokale und Cloud-Umgebungen.

Die Hauptvorteile von MSIX liegen sehr stark im Fokus des täglichen Betriebs.Es bietet eine Installationsrate von rund 99,96 %, garantiert eine saubere Deinstallation, reduziert den Bandbreitenverbrauch durch die Verwendung von 64-KB-Blöcken und verhindert die Duplizierung von Dateien auf der Festplatte zwischen Anwendungen, sodass Windows gemeinsam genutzte Dateien verwalten kann, ohne die Anwendungsisolation zu beeinträchtigen.

Für Administratoren bedeutet MSIX einen Mentalitätswandel.Die Anwendung wird nicht mehr "hart" im System installiert, sondern in einem MSIX-Container verpackt, zusammen mit einem Manifest (AppxManifest), das Identitäten, Startmenüeinträge, Dateizuordnungen, benutzerdefinierte Protokolle, Ressourcenzugriffsrechte und andere Details der Integration mit der Shell und dem System deklariert.

Microsoft stellt spezielle Tools zur Verfügung, um diesen Übergang zu erleichtern.: das MSIX Packaging Tool zum Konvertieren bestehender Installationsprogramme (EXE, MSI, App-V, ClickOnce) in MSIX; das MSIX SDK zum Arbeiten mit Paketen außerhalb von Windows; App Installer zum Bereitstellen von Paketen von URLs oder lokalen Medien; und die Package Compatibility Platform zum Anwenden von „Korrekturen“, wenn Sie keinen Zugriff auf den Quellcode haben.

MSIX App Attach: Dynamische Bereitstellung von Anwendungen unter Windows 11 und AVD

MSIX App Attach ist die moderne Methode zur Auslieferung von MSIX-Paketen. App Attach ermöglicht die dynamische Bereitstellung auf physischen und virtuellen Maschinen, ist insbesondere in Azure Virtual Desktop integriert und wird auch unter Windows 10/11 Enterprise unterstützt. Im Gegensatz zur direkten Installation der Anwendung als klassische MSIX-Datei bindet App Attach die Anwendung aus einem Datenträgerabbild (VHD, VHDX oder CIM) ein und verbindet sie mit dem System, ohne dass sie dauerhaft Bestandteil des Basisabbilds wird.

Der große Vorteil von MSIX App Attach liegt in der klaren Trennung zwischen Systemabbild, Anwendungen und Benutzerdaten. Das Windows-Abbild bleibt schlank, Anwendungen befinden sich in MSIX-Containern innerhalb virtueller Festplatten, und Benutzerprofile können in Lösungen wie FSLogix gespeichert werden, was Aktualisierungen, Rollbacks, Tests und kürzere Anmeldezeiten ermöglicht.

In AVD-Umgebungen entfällt durch MSIX App Attach die Notwendigkeit Anstatt monolithische Images mit allen möglichen Anwendungen zu verwenden, laden Sie die Datenträger mit den MSIX-Paketen in eine Azure Files-Freigabe hoch, deklarieren sie als MSIX-Pakete im Hostpool und weisen sie Anwendungs- und Benutzergruppen zu. Die Anwendungen werden dem Benutzer angezeigt, als wären sie lokal installiert, das Systemimage bleibt jedoch unverändert.

Darüber hinaus ist MSIX App Attach auch außerhalb von Azure Virtual Desktop nützlich.Die dafür notwendigen APIs sind in Windows 10/11 Enterprise integriert und ermöglichen das lokale Einbinden, Registrieren und Aushängen von MSIX-Paketen. PowershellDies eignet sich ideal für Testszenarien, Labore oder zur Validierung der Kompatibilität eines Pakets vor dessen Einsatz in der Produktion in einem AVD.

Arten von Systemabbildern und warum App Attach besser zum modernen Modell passt

Wenn wir über Windows-Desktop-Images oder VDI sprechenTraditionell wurden drei Ansätze verfolgt: abteilungsspezifische „Legacy“-Images, riesige Standard-Images mit allen Anwendungen und, in jüngerer Zeit, ein moderner Ansatz, bei dem das Basis-Image nahezu leer ist und die Anwendungen von anderen Anbietern bereitgestellt werden. Streaming oder dynamisch angehängt.

Im alten Modell hat jede Benutzergruppe ihr eigenes Bild. (Buchhaltung, Entwicklung, Design usw.). Dies vereinfacht zwar die tägliche Arbeit jeder Gruppe etwas, führt aber zu einem Albtraum bei Wartung, Patching und Tests, da jede Änderung die Modifizierung mehrerer Images und die Koordination von Deployments erfordert.

Das standardmäßige monolithische Modell reduziert die Anzahl der Bilder Dies geschieht auf Kosten der Bündelung aller Funktionen in einem einzigen Bild: Alle Apps für alle Benutzer in derselben Ansicht, oft kombiniert mit App-Maskierungstechniken, um Anwendungen je nach Benutzer auszublenden. Zwar wird dadurch die Verwaltung vereinfacht, aber der Preis dafür ist hoch. hohe Startzeiten und ein hoher Aufwand für Aktualisierungen.

Das moderne Modell bevorzugt ein sauberes Image nur mit dem Betriebssystem, Treiber und kritische Komponenten, lässt jedoch Anwendungen aus, die über MSIX, MSIX App Attach oder vergleichbare Lösungen bereitgestellt werden. Dieses Modell eignet sich perfekt für Azure Virtual Desktop und MSIX-Container, da Anwendungen je nach Bedarf eingebunden und ausgebunden werden können.

Vom MSIX-Paket zum Datenträgerabbild: VHDX und CIM mit MSIXMGR

Für die Verwendung einer Anwendung mit MSIX App Attach reicht die Dateiendung .msix nicht aus.Sie müssen dieses Paket in ein Datenträgerabbild konvertieren, das als Laufwerk im System eingebunden werden kann. Microsoft bietet drei Formate an: VHD, VHDX und CIM. Heutzutage wird jedoch empfohlen, VHD zu vermeiden und stattdessen VHDX oder, noch besser, CIM (Composite Image File System) zu verwenden, um Leistung und Ressourcenverbrauch zu optimieren.

Das wichtigste Werkzeug für diesen Prozess ist MSIXMGR.Sie können die Datei herunterladen und auf einem Windows 10- oder 11-Gerät mit Administratorrechten in einen Ordner extrahieren. Anschließend können Sie eine .msix-Datei entpacken und die entsprechende .vhdx- oder .cim-Datei erstellen, die Sie mithilfe eines Konsolenbefehls in eine App einbinden können.

Das grundlegende Vorgehen zur Erstellung eines CIM-Bildes Es besteht darin, ein/eine/einen zu öffnen Eingabeaufforderung Navigieren Sie an einem erhöhten Standort zu dem Verzeichnis, in dem sich MSIXMGR befindet, stellen Sie sicher, dass der Zielordner existiert, und führen Sie einen Befehl wie den folgenden aus:
msixmgr.exe -Unpack -packagePath "C:\msix\miapp.msix" -destination "C:\msix\miapp\miapp.cim" -applyACLs -create -fileType cim -rootDirectory apps

Für eine VHDX-Datei ist der Befehl ähnlich; er ändert lediglich den Dateityp. und das Ziel, wodurch MSIXMGR die virtuelle Festplatte erstellt und formatiert, ACLs anwendet und sie zum Einbinden als Festplatte bereithält:
msixmgr.exe -Unpack -packagePath "C:\msix\miapp.msix" -destination "C:\msix\miapp.vhdx" -applyACLs -create -fileType vhdx -rootDirectory apps

Sobald das Bild generiert wurde, besteht der nächste Schritt darin, es hochzuladen. in einer geeigneten gemeinsam genutzten Ressource (Azure Files für AVD oder andere Freigabeoptionen in lokalen Umgebungen) und bereiten Sie die Skripte oder Konfigurationen vor, die das Einbinden, Registrieren und Aushängen der Anwendung gemäß dem Szenario durchführen.

Bereiten Sie die Entwicklungsumgebung vor: Visual Studio, App Attach Toolkit und MSIX-Tools

Wenn Sie Entwickler sind und Ihre eigenen Apps für App Attach verpacken möchtenAm komfortabelsten arbeitet man mit Visual Studio 2022 und dem Windows App SDK. Für moderne Desktop-Projekte mit WinUI 3 empfiehlt sich die Vorlage „Leere App, verpackt (WinUI 3 auf dem Desktop)“, die bereits für MSIX konfiguriert ist.

Zunächst einmal ist es ratsam, Visual Studio 2022 zu installieren.Die Konfiguration erfolgt je nach Projekt für C# oder C++ und fügt die Workload „Azure Development“ aus dem Visual Studio-Installationsprogramm hinzu. Dies ermöglicht die direkte Veröffentlichung auf Azure Virtual Desktop und anderen Cloud-Integrationen.

Ein sehr nützliches Hilfsmittel ist die Erweiterung App Attach Toolkit.Verfügbar im Visual Studio Marketplace. Nach der Installation der Erweiterung können Sie direkt in der IDE App Attach-fähige MSIX-Pakete erstellen, das VHDX-Datenträgerabbild generieren und, falls gewünscht, das Ergebnis sogar in einem AVD-Hostpool veröffentlichen, ohne Visual Studio zu verlassen.

Für traditionellere Szenarien oder zum Verpacken bestehender Win32-AnwendungenDas MSIX Packaging Tool ist nach wie vor unverzichtbar. Es ermöglicht die Aufzeichnung des Installationsprozesses einer EXE- oder MSI-Datei auf einem Testrechner (idealerweise mithilfe von Diensten wie z. B. Windows Update oder wenn die Windows-Suche beendet wurde), konfigurieren Sie das Signaturzertifikat, definieren Sie die ersten Startaufgaben, die einzuschließenden Dienste und weitere Details und erstellen Sie schließlich eine gebrauchsfertige .msix-Datei.

Erstellen von App-Attach-fähigen Paketen aus Visual Studio 2022

Sobald die App Attach-Erweiterung in Visual Studio 2022 installiert istDer typische Workflow für eine gepackte WinUI 3-Anwendung ist relativ einfach. Zunächst öffnen Sie Visual Studio im Administratormodus (Rechtsklick, „Als Administrator ausführen“), um Berechtigungsprobleme beim Generieren von Images und beim Zugriff auf Zertifikate zu vermeiden.

Sie erstellen ein gepacktes WinUI 3-Desktopprojekt in C# oder C++. Sobald Ihre Anwendung in einem angemessenen Zustand ist, gehen Sie zum Projektmappen-Explorer, klicken Sie mit der rechten Maustaste auf das gepackte Projekt und wählen Sie „Packen und veröffentlichen“ > „App-Attach-Bundles erstellen“. Diese Option startet den App-Attach-Assistenten.

Innerhalb des Assistenten können Sie verschiedene Aspekte des Pakets konfigurieren.Der Speicherort für die MSIX-Datei und das VHDX-Disk-Image, die Zielplattform (x64, ARM64 usw.) und vor allem das Zertifikat, mit dem das Paket signiert wird. Sie können ein Zertifikat aus dem lokalen Speicher auswählen, eine .pfx-Datei verwenden oder ein neues Zertifikat dynamisch generieren.

Die Signatur ist eine zwingende Voraussetzung für die Installation des Pakets. auf anderen Geräten; dieses Zertifikat muss auf den Zielrechnern als vertrauenswürdig eingestuft werden (normalerweise in Trusted installiert). Wurzel oder gegebenenfalls von vertrauenswürdigen Personen). In Unternehmensumgebungen stammt es üblicherweise von einer internen Zertifizierungsstelle, während für die öffentliche Verbreitung häufig ein kommerzielles Zertifikat verwendet wird.

Die Erweiterung beinhaltet auch verschiedene Ausstiegsoptionen.: Erstellen Sie einfach das Datenträgerabbild für die manuelle Verteilung, führen Sie eine lokale Verknüpfung der Anwendung auf dem Entwicklungsrechner selbst durch (sehr praktisch zum Testen) oder veröffentlichen Sie direkt in einer Azure Virtual Desktop-Hostgruppe, wobei Sie das Abonnement, die Ressourcengruppe und das Konto angeben. LagerungGemeinsam genutzte Ressource, Anwendungspool, Arbeitsbereich und Hostpool.

Erweiterungsoptionen: Datenträgerabbild, lokal einbinden oder auf AVD veröffentlichen

Die Option „Nur ein Datenträgerabbild erstellen“ erzeugt eine VHDX- oder CIM-Datei. Es ist für App Attach vorbereitet, wird aber nirgendwo veröffentlicht oder registriert. Es eignet sich ideal, wenn Sie die Festplatte auf eine andere Freigabe kopieren, sie manuell in Azure Files hochladen oder sie in einen anderen Automatisierungs-Workflow integrieren möchten, der nicht auf der IDE basiert.

Die Funktionalität „Lokale Anwendungsverknüpfung“ Es erstellt das App-Attach-fähige Paket und veröffentlicht es auf dem lokalen Rechner, sodass Sie die Praxistauglichkeit testen können, ohne einen AVD-Hostpool zu benötigen. Der Benutzer kann die App installieren, ihr Verhalten testen und anschließend die Festplatte auswerfen und das Paket deinstallieren, ohne nennenswerte Spuren zu hinterlassen.

Die „Azure Application Partnership (AVD)“-Integration Es ermöglicht einen reibungslosen Übergang in eine Produktionsumgebung. Die Erweiterung erstellt das MSIX-Paket, generiert das Datenträgerabbild und lädt es in die AVD-Dateifreigabe hoch. Dabei wird das Paket im entsprechenden Anwendungspool registriert und mit dem Hostpool und dem Arbeitsbereich verknüpft, sodass es für die Benutzer sichtbar ist.

Bei dieser Azure-Registrierung müssen Sie mehrere wichtige Parameter ausfüllen.Für die Ausführung der Sitzungen werden das Azure-Abonnement, die Ressourcengruppe mit dem Hostpool, das Speicherkonto mit der Dateifreigabe, die Freigabe selbst, der Anwendungspool, der zugehörige Arbeitsbereich und der Hostpool benötigt. Mit diesen Informationen startet ein Klick auf „Veröffentlichen“ den gesamten automatisierten Prozess.

Intern wird die Lösung durch die Erweiterung nur minimal verändert. Es wird ein Ordner namens „AppAttachPackages“ hinzugefügt, der die MSIX- und VHDX-Artefakte enthält, sowie eine Datei namens „appattach.config“ mit den Metadaten, die zum Replizieren oder Verwalten der Konfiguration benötigt werden. Die Versionierung kann zwar ignoriert werden, wird aber aus Gründen der Nachvollziehbarkeit empfohlen.

Azure Virtual Desktop und Azure Files für MSIX App Attach vorbereiten

Bei einer realen AVD-Implementierung ist MSIX App Attach auf ein gutes Design angewiesen. Speicherung und Berechtigungen. Üblicherweise werden Azure Files in Verbindung mit Active Directory verwendet, um die Berechtigungen zu organisieren. NTFS und RBAC, um richtig festzulegen, wer die Pakete verwalten darf und wer sie nur lesen darf.

Ein typisches Schema beginnt mit der Erstellung zweier Sicherheitsgruppen. In Active Directory gibt es eine Gruppe für AVD-Benutzer (z. B. AVDUsers) und eine weitere für Sitzungshosts (AVDSessionHosts). Benutzer, die die zugehörigen Anwendungen verwenden, werden der ersten Gruppe hinzugefügt. virtuelle Maschinen Zweitens muss sichergestellt werden, dass alle Daten über Azure AD Connect mit Azure AD synchronisiert werden.

Anschließend wird ein Speicheradministratorbenutzer erstellt. (z. B. StorageAdmin), das Berechtigungen für die Azure Files-Freigabe zuweist und NTFS verwaltet. Sobald das Speicherkonto in Azure erstellt ist (idealerweise ein Premium-Konto für den Produktivbetrieb mit der benötigten Leistung und Redundanz), wird es mithilfe des AZFilesHybrid-Moduls und PowerShell in Active Directory registriert.

Hinsichtlich der Berechtigungen wird Azure RBAC verwendet, um die entsprechenden Rollen zuzuweisen. Beispielsweise „Storage File Data SMB Share Elevated Contributor“ für Administratoren und „Storage File Data SMB Share Reader“ für normale Benutzer und Sitzungshosts. In NTFS muss der Ordner, der die Pakete enthält (z. B. \share\MSIXPackages), den Benutzer- und Computergruppen mindestens Lese- und Ordnerauflistungsberechtigungen gewähren.

Das letzte wesentliche Element sind die Signaturzertifikate. Sie können kommerzielle Zertifikate, eine unternehmensweite PKI-Infrastruktur oder selbstsignierte Zertifikate der MSIX-Pakete verwenden. In Testumgebungen ist es üblich, ein mit PowerShell erstelltes selbstsigniertes Zertifikat zu verwenden, es als .pfx- und .cer-Datei zu exportieren, die .pfx-Datei im Paketierungstool zu verwenden und die .cer-Datei an alle Sitzungshosts im Trusted Root Store zu verteilen (per Gruppenrichtlinie, benutzerdefiniertem Image oder manueller Installation).

Vollständiger Workflow zum Erstellen eines MSIX-Pakets und seines VHDX-Containers

Nehmen wir als praktisches Beispiel an, wir verpacken 7-Zip. oder eine andere klassische Win32-Anwendung. Auf einem Testrechner, der der Domäne beigetreten und mit dem Controller verbunden war, haben wir das .exe-Installationsprogramm der Anwendung und das MSIX Packaging Tool aus dem Microsoft Store oder von der zugehörigen Dokumentationsseite heruntergeladen.

Innerhalb des MSIX Packaging Tools wählen wir „Anwendungspaket erstellen“., Option zum Erstellen des Pakets in dieses Team Im Verlauf der Installation prüft das Tool automatisch Dienste wie Windows Search und Windows Update und bietet an, diese zu deaktivieren, um Störungen während der Aufzeichnung zu vermeiden. Wählen Sie anschließend die EXE-Installationsdatei aus und geben Sie gegebenenfalls Argumente für eine unbeaufsichtigte Installation an.

Im Signierungsschritt wählen wir das .pfx-Zertifikat aus. Wir haben das Paket vorbereitet. Geben Sie das Passwort und gegebenenfalls einen Zeitstempelserver ein. Anschließend füllen wir die Paketinformationen aus: interner Name, Anzeigename, Herausgeber, Beschreibung und Version. Dabei achten wir darauf, die Namenskonventionen der Organisation einzuhalten.

Das Tool startet die Anwendungsinstallation.Es ist wichtig, hier automatische App-Updates zu deaktivieren und gegebenenfalls das Gerät neu zu starten, bevor Sie mit dem Assistenten fortfahren. Nutzen Sie die Gelegenheit, die Anwendung zu öffnen, ihre Funktion zu überprüfen und alle gewünschten Einstellungen vorzunehmen.

Nach Fertigstellung werden die ersten Startaufgaben definiert. Das Paket ermittelt die Einstiegspunkte und Pfade zu den Haupt-EXE-Dateien, prüft die zugehörigen Dienste und erstellt schließlich die MSIX-Datei sowie das Konvertierungsprotokoll. Nach dem Import des Signaturzertifikats kann dieses Paket dann auf einem anderen Windows 10/11-System installiert werden.

Um dieses MSIX-Projekt weltweit zugänglich zu machen, App AttachIm nächsten Schritt wird mithilfe von Hyper-V und MSIXMGR oder Drittanbieter-Tools wie AppVentiX Community Tool oder MSIX Hero ein Datenträgercontainer erstellt, typischerweise eine VHDX-Datei. Das Ergebnis ist eine .vhdx-Datei, die Sie als Datenträger einbinden oder partitionieren können. formatearund auf dem MSIX mit MSIXMGR entpackt werden kann, um es für die dynamische Einbindung in Host-Pools vorzubereiten.

App-Anbindungsphasen und Tests außerhalb von Azure Virtual Desktop

Die App-Anbindungs-Engine arbeitet stets in vier klar abgegrenzten Phasen.Stage (temporäre Speicherung), Register (Benutzerregistrierung), Deregister (Registrierung rückgängig machen) und Destage (Entfernen der Einbindung). Stage und Destage sind Operationen auf Maschinenebene; Register und Deregister sind Operationen auf Benutzerebene.

Um MSIX-Pakete außerhalb von AVD zu testen, können Sie dasselbe Schema verwenden. Auf einem Windows 10/11 Enterprise-Rechner mit PowerShell muss zunächst das Datenträgerabbild (VHDX/CIM) mit dem entsprechenden Befehl eingebunden werden. Anschließend wird die Geräte-ID des Volumes ermittelt, die Datei AppxManifest.xml gesucht, der Pfad erstellt und mithilfe der Windows.Management.Deployment.PackageManager-APIs StagePackageAsync mit der Option StageInPlace ausgeführt werden.

Sobald sich das Paket im „vorbereiteten“ Zustand befindetSie registrieren die Anwendung für den Benutzer, indem Sie den Befehl „Add-AppxPackage“ aufrufen und auf die Datei „AppxManifest“ im Verzeichnis „Program Files\WindowsApps“ verweisen. Anschließend wird die Anwendung in der Sitzung wie jede andere installierte App angezeigt und kann geöffnet werden, um ihre Funktionalität und Leistung zu überprüfen.

Wenn Sie die Tests abgeschlossen haben, melden Sie sich mit Remove-AppxPackage ab. Verwenden Sie den vollständigen Paketnamen (msixPackageFullName). Fahren Sie anschließend mit dem Destaging fort: Hängen Sie das Datenträgerabbild mit dem Befehl entsprechend dem Format (VHDX, VHD, CIM) aus und wiederholen Sie zur Sicherheit den Befehl „Remove-AppxPackage -AllUsers“, um sicherzustellen, dass es für niemanden registriert ist.

Dasselbe Muster von Bühne/Registrierung/Deregistrierung/Entbühne Dies lässt sich mithilfe von Start-, Abmelde- und Herunterfahrskripten und Gruppenrichtlinien automatisieren. So können Sie, ohne eine Steuerungsebene wie AVD zu benötigen, das Verhalten von App Attach auf physischen Maschinen oder in kontrollierten Umgebungen simulieren.

Win32-Anwendungsisolierung, AppContainer und Sicherheit in Windows 11

MSIX und App Attach sind keine isolierten Einheiten; sie sind Teil einer umfassenderen Strategie. Systemhärtung in Windows 11, wobei die Win32-Anwendungsisolation, UWP-Anwendungscontainer, Windows Sandbox, WSL und virtualisierungsbasierte Enklaven eine Schlüsselrolle spielen.

Die Isolation von Win32-Anwendungen wird von AppContainer unterstützt. Um Prozesse mit niedrigen Integritätsstufen auszuführen, werden die zugänglichen APIs und Ressourcen streng beschränkt. Erstens wird die Anwendung in diesem streng eingeschränkten Container gestartet; zweitens erhält sie über das MSIX-Paketmanifest, das als Zugriffsvertrag für sicherheitsrelevante Windows-Objekte dient, nur die notwendigen Berechtigungen.

Um Entwicklern die Feinabstimmung dieser Funktionen zu erleichtern Um nicht blindlings vorzugehen, gibt es den Application Capability Profiler (ACP), mit dem Sie die Anwendung im Lernmodus ausführen können. In diesem Modus wird der Zugriff auf fehlende Funktionen nicht blockiert, sondern vorübergehend aktiviert. Die Anwendung zeichnet dann auf, welche Funktionen im vollständig isolierten Modus benötigt würden.

Jenseits der Win32-Isolation: UWP-Apps und andere Benutzererfahrungen Sie laufen in Anwendungscontainern, die ebenfalls mit einem niedrigen Integritätsniveau arbeiten und den Zugriff auf Dateisystem, Registry und Netzwerk einschränken (z. B. den Zugriff auf localhost beschränken). Dadurch wird die Angriffsfläche im Falle einer Kompromittierung einer Anwendung drastisch reduziert.

Ergänzend zu diesem Ansatz gibt es Windows Sandbox (Windows Sandbox) zum Ausführen nicht vertrauenswürdiger Win32-Anwendungen in temporären Umgebungen, WSL mit Steuerelementen wie der Hyper-V-FirewallDNS-Tunneling und automatische Proxys, die von Tools wie Intune verwaltet werden, sowie virtualisierungsbasierte Sicherheitsenklaven (VBS), die als Software-TEEs fungieren, um Geheimnisse auch vor hochprivilegierten Angreifern zu schützen.

Integriertes Anwendungsmanagement, wsappx und erweiterte Szenarien in AVD

In Windows 11 Multi-Session-Umgebungen auf AVDs tritt ein weiteres merkwürdiges Problem auf.: die Verwaltung integrierter Anwendungen (Taschenrechner, Aufgabenverwaltung, Malen, Notizblock usw.) und die Auswirkungen des wsappx-Prozesses auf die CPU, insbesondere wenn viele Benutzer einen Host gemeinsam nutzen.

Viele Administratoren möchten den Microsoft Store deaktivieren. Über Gruppenrichtlinienobjekte (GPO) kann der Ressourcenverbrauch reduziert und unautorisierte Installationen blockiert werden. Das Problem besteht darin, dass vorinstallierte AppX-Anwendungen nach Deaktivierung dieser Funktion nicht mehr über die Standardmethode aktualisiert werden und nicht alle in Winget verfügbar sind, dem üblicherweise bevorzugten Tool für automatisierte Bereitstellungen.

Mögliche Strategien beinhalten die Kombination mehrerer Techniken.Die Optionen reichen von der Beibehaltung des Stores ausschließlich für administrative Zwecke und der Kontrolle seiner Nutzung durch strenge Richtlinien bis hin zur Migration bestimmter integrierter Anwendungen in Paketversionen wie MSIX und, falls möglich, App Attach. In manchen Fällen lassen sich integrierte Anwendungen mithilfe von Winget oder einer benutzerdefinierten MSIX-Datei durch verwaltbare Alternativen ersetzen.

Bezüglich wsappx können Optimierungen vorgenommen werden. de StartenMinimieren von Hintergrundprozessen im Zusammenhang mit dem Store und AppX, und DPC-Latenz messen Um festzustellen, welche spezifischen Operationen die Systemlast verursachen, ist es hilfreich, möglichst viele Anwendungen auf das MSIX + App Attach-Modell umzustellen, um den Ressourcenverbrauch jeder Anwendung auf dem System besser zu kontrollieren.