Applocker funktioniert nicht sauber
Moin zusammen ,
ich teste gerade Applocker bei uns aus (verteilt per GPO).
Meine Testclients sind vollständig gepatchte Windows 10 & 11 Prof. PCs.
Derzeitige GPO Konfig:
Ergo habe ich "nur" alle ".exe" Files aus dem Download Ordner verweigert.
Am Anfang funktioniert es, ganz normal ohne Probleme.
Nach einer Weile funktioniert es bei mir aus irgendwelchen Gründen nicht mehr.
Im Ereignisprotokoll steht dann:
"*<Dateiname> * darf ausgeführt werden, wäre aber an der Ausführung gehindert worden, wenn die AppLocker-Richtlinie erzwungen wurde."
Und die Regeln sind definitiv NICHT auf den Auditmode eingestellt.
Es gibt sonst NICHTS mit Applocker in unserer Infrastruktur.
Hat jemand eine Idee?
Danke.
ich teste gerade Applocker bei uns aus (verteilt per GPO).
Meine Testclients sind vollständig gepatchte Windows 10 & 11 Prof. PCs.
Derzeitige GPO Konfig:
Ergo habe ich "nur" alle ".exe" Files aus dem Download Ordner verweigert.
Am Anfang funktioniert es, ganz normal ohne Probleme.
Nach einer Weile funktioniert es bei mir aus irgendwelchen Gründen nicht mehr.
Im Ereignisprotokoll steht dann:
"*<Dateiname> * darf ausgeführt werden, wäre aber an der Ausführung gehindert worden, wenn die AppLocker-Richtlinie erzwungen wurde."
Und die Regeln sind definitiv NICHT auf den Auditmode eingestellt.
Es gibt sonst NICHTS mit Applocker in unserer Infrastruktur.
Hat jemand eine Idee?
Danke.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42885422022
Url: https://administrator.de/forum/applocker-funktioniert-nicht-sauber-42885422022.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
20 Kommentare
Neuester Kommentar
Der Dienst wird nicht über die GPO gestartet, auch nicht neu gestartet. Du legst per GPO nur dessen Startart fest.
Kannst Du bitte im Fehlerzustand das resultat.html anschauen?
Ich habe wie du die Startart des Dienstes in der selben GPO wie die Applockerregeln festgelegt.
Kenne dieses Fehlverhalten leider noch nicht.
Kannst Du bitte im Fehlerzustand das resultat.html anschauen?
Ich habe wie du die Startart des Dienstes in der selben GPO wie die Applockerregeln festgelegt.
Kenne dieses Fehlverhalten leider noch nicht.
Ich kann den Pfad so nicht unter "Pfad eintragen"
Stimmt, Applocker kennt nur wenige Variablen, siehe https://learn.microsoft.com/en-us/windows/security/application-security/ ...Dann nutze %osdrive%\users\*\downloads\*.exe
Ok, dann ist doch klar, was Sache ist. Du hast den Ordner c:\users noch gar nicht freigegeben für Ausführung von exe. Per Default ist alles dicht! Was Du gesetzt hast, sind nur die Standardregeln, die unterhalb von c:\windows sowie im Programmverzeichnis alles erlauben.
PS: Vorsicht mit c:\windows. Darunter gibt es ein paar Verzeichnisse, die der Nutzer beschreiben kann, zum Beispiel das c:\windows\temp. Kopiert er also Dinge dorthin, kann er sie plötzlich ausführen. Alle beschreibbaren orte sollten geblockt werden; die Standardregeln nennt Microsoft selbst "unsicher".
PS: Vorsicht mit c:\windows. Darunter gibt es ein paar Verzeichnisse, die der Nutzer beschreiben kann, zum Beispiel das c:\windows\temp. Kopiert er also Dinge dorthin, kann er sie plötzlich ausführen. Alle beschreibbaren orte sollten geblockt werden; die Standardregeln nennt Microsoft selbst "unsicher".
Könntest du mir evtl. paar Standardpfade geben, welche ihr auch im Einsatz habt?
Dazu solltest Du besser deine Systeme auf beschreibbare Ordner untersuchen, und zwar so: lade dir von Microsoft accesschk runter und und mach damit auf einer elevated shell malaccesschk.exe VORDEFINIERT\Benutzer c:\Windows\ -w -s
accesschk.exe BUILTIN\Users c:\Windows\ -w -s
Das Selbe sicherheitshalber auch für "c:\program files" bzw. "c:\program files (x86)" ausführen.
Siehe dazu auch: Application Whitelisting - Umgang mit Systemdateien