scar71
Goto Top

Applocker funktioniert nicht sauber

Moin zusammen ,
ich teste gerade Applocker bei uns aus (verteilt per GPO).
Meine Testclients sind vollständig gepatchte Windows 10 & 11 Prof. PCs.

Derzeitige GPO Konfig:
2024-04-17 08_36_20-svrdc06 - remote desktop connection manager - sysinternals_ www.sysinternals.com
2024-04-17 08_37_33-svrdc06 - remote desktop connection manager - sysinternals_ www.sysinternals.com
Ergo habe ich "nur" alle ".exe" Files aus dem Download Ordner verweigert.

Am Anfang funktioniert es, ganz normal ohne Probleme.
Nach einer Weile funktioniert es bei mir aus irgendwelchen Gründen nicht mehr.
Im Ereignisprotokoll steht dann:

"*<Dateiname> * darf ausgeführt werden, wäre aber an der Ausführung gehindert worden, wenn die AppLocker-Richtlinie erzwungen wurde."

Und die Regeln sind definitiv NICHT auf den Auditmode eingestellt.

Es gibt sonst NICHTS mit Applocker in unserer Infrastruktur.
Hat jemand eine Idee?

Danke.

Content-ID: 42885422022

Url: https://administrator.de/forum/applocker-funktioniert-nicht-sauber-42885422022.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

DerWoWusste
DerWoWusste 17.04.2024 aktualisiert um 10:07:46 Uhr
Goto Top
Moin.

Mach am Client ein elevated command prompt auf und starte
gpresult /h %temp%\resultat.html & %temp%\resultat.html
Steht da wirklich nichts von Audit mode?
scar71
scar71 17.04.2024, aktualisiert am 18.04.2024 um 14:04:23 Uhr
Goto Top
in den GPO Settings:


(nochmal, es funktioniert es und nach einer Zeit hört es einfach auf und geht in Audit mode...)
1l
2
sobald ich den lokalen GPO Cache leere und gpudpdate mache , funktioniert es erstmal wiedr.
Nach einer Weile,funktioniert es wieder nicht

Ganz kurios.

Evtl. anders gefragt:
Wie hast du es konfiguriert? Wie lässt du den Dienst starten?

Mein Verdacht:
Dadurch dass ich über die selbe GPO auch den Dienstag starte, s.o., und alle X Minuten die GPO angewendet wird und somit der Dienst evtl. einen Neustart im Hintergrund hinnehmen muss, dass es ab dann nicht funktioniert?
DerWoWusste
DerWoWusste 17.04.2024 um 10:23:55 Uhr
Goto Top
Der Dienst wird nicht über die GPO gestartet, auch nicht neu gestartet. Du legst per GPO nur dessen Startart fest.
Kannst Du bitte im Fehlerzustand das resultat.html anschauen?

Ich habe wie du die Startart des Dienstes in der selben GPO wie die Applockerregeln festgelegt.
Kenne dieses Fehlverhalten leider noch nicht.
scar71
scar71 18.04.2024 aktualisiert um 14:03:03 Uhr
Goto Top
Hab mal alles neu gemacht, die einzige Regel zum Verweigern lautet:
%OSDRIVE%\USERS\%SUERPROFILE%\DOWNLOADS\*.exe

ABER es wird auch folgendes blockiert:
1
Ist mein "Parameter" falsch? Die EXE Files unter Downloads werden übrigens auch blockiert.
DerWoWusste
DerWoWusste 18.04.2024 um 15:16:34 Uhr
Goto Top
%userprofile% löst auf zu c:\users\benutzername, also solltest Du %userprofile%\downloads\*.exe verwenden.
scar71
scar71 18.04.2024 aktualisiert um 15:34:00 Uhr
Goto Top
Zitat von @DerWoWusste:

%userprofile% löst auf zu c:\users\benutzername, also solltest Du %userprofile%\downloads\*.exe verwenden.

hab ich nun mal gemacht:
112


btw - machst du einen whitelist Ansatz (wäre cooler, aber aufwendiger) oder blacklist wie bei mir?

edit:
leider das gleiche Problem. Gesperrt habe ich, wie oben zu sehen, alle .EXE unter Downloads.
Testweise habe ich was unter Bilder abgelegt, wird blockiert.
asdas

die angekommene GPO am Client:
rtrtr

echt merkwürdig, verstehe es nicht...
DerWoWusste
DerWoWusste 18.04.2024 um 16:45:33 Uhr
Goto Top
Mach es mal so, wie ich es schrieb. NICHT c:\users\%userprofile%\downl..., sondern %userprofile%\downloads
scar71
scar71 19.04.2024 um 08:03:50 Uhr
Goto Top
Zitat von @DerWoWusste:

Mach es mal so, wie ich es schrieb. NICHT c:\users\%userprofile%\downl..., sondern %userprofile%\downloads

das gleiche Problem..

Siehe (geblockt sollte %userprofile%\downloads\*.exe => blockiert wird aber mehr)
heu
heu2
DerWoWusste
DerWoWusste 19.04.2024 um 08:49:09 Uhr
Goto Top
Darf ich mal raten? Du hast nicht den Pfad, sondern nur den Namen der Regel modifiziert?
scar71
scar71 19.04.2024 um 09:02:09 Uhr
Goto Top
Zitat von @DerWoWusste:

Darf ich mal raten? Du hast nicht den Pfad, sondern nur den Namen der Regel modifiziert?

du hast (mal wieder) Recht. face-smile Danke.
Aber:

Ich kann den Pfad so nicht unter "Pfad eintragen" =>
asdasda
DerWoWusste
DerWoWusste 19.04.2024 um 09:09:28 Uhr
Goto Top
Ich kann den Pfad so nicht unter "Pfad eintragen"
Stimmt, Applocker kennt nur wenige Variablen, siehe https://learn.microsoft.com/en-us/windows/security/application-security/ ...

Dann nutze %osdrive%\users\*\downloads\*.exe
scar71
scar71 19.04.2024 um 09:37:02 Uhr
Goto Top
leider wieder das gleiche Problem..
333
331
332

Die GPO am Client ist korrekt angekommen.
DerWoWusste
DerWoWusste 19.04.2024 um 09:59:16 Uhr
Goto Top
Schau in der registry nach, ob am Client die richtigen Pfade eingetragen sind, oder nicht:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Exe
scar71
scar71 19.04.2024 um 10:50:20 Uhr
Goto Top
Zitat von @DerWoWusste:

Schau in der registry nach, ob am Client die richtigen Pfade eingetragen sind, oder nicht:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Exe

ja ist eingetragen.
123123
DerWoWusste
DerWoWusste 19.04.2024 um 10:55:26 Uhr
Goto Top
Und das ist der einzige Eintrag? Wenn ja, vielleicht mal den Client neu starten?
scar71
scar71 19.04.2024 um 11:01:51 Uhr
Goto Top
ne, habe nur das relevante gesendet. aber hier die vollständigen:

x11
DerWoWusste
Lösung DerWoWusste 19.04.2024 um 11:09:00 Uhr
Goto Top
Ok, dann ist doch klar, was Sache ist. Du hast den Ordner c:\users noch gar nicht freigegeben für Ausführung von exe. Per Default ist alles dicht! Was Du gesetzt hast, sind nur die Standardregeln, die unterhalb von c:\windows sowie im Programmverzeichnis alles erlauben.

PS: Vorsicht mit c:\windows. Darunter gibt es ein paar Verzeichnisse, die der Nutzer beschreiben kann, zum Beispiel das c:\windows\temp. Kopiert er also Dinge dorthin, kann er sie plötzlich ausführen. Alle beschreibbaren orte sollten geblockt werden; die Standardregeln nennt Microsoft selbst "unsicher".
scar71
scar71 19.04.2024 um 11:29:42 Uhr
Goto Top
Zitat von @DerWoWusste:

Ok, dann ist doch klar, was Sache ist. Du hast den Ordner c:\users noch gar nicht freigegeben für Ausführung von exe. Per Default ist alles dicht! Was Du gesetzt hast, sind nur die Standardregeln, die unterhalb von c:\windows sowie im Programmverzeichnis alles erlauben.

PS: Vorsicht mit c:\windows. Darunter gibt es ein paar Verzeichnisse, die der Nutzer beschreiben kann, zum Beispiel das c:\windows\temp. Kopiert er also Dinge dorthin, kann er sie plötzlich ausführen. Alle beschreibbaren orte sollten geblockt werden; die Standardregeln nennt Microsoft selbst "unsicher".

tatsächlich. Mir war bis eben nicht bewusst, dass MS Applocker den Whitelist Ansatz fährt. Danke!!!
(ich habe jetzt %OSDRIVE%\users\ alles erlaubt).
nun wird nur die EXE unter Downloads verboten, alle anderen Pfade mit exe gehen! Danke!!!!

Könntest du mir evtl. paar Standardpfade geben, welche ihr auch im Einsatz habt? (zB das was du oben bereits sagtest).

Danke, DerWoWusste..
DerWoWusste
DerWoWusste 19.04.2024 aktualisiert um 11:37:51 Uhr
Goto Top
Könntest du mir evtl. paar Standardpfade geben, welche ihr auch im Einsatz habt?
Dazu solltest Du besser deine Systeme auf beschreibbare Ordner untersuchen, und zwar so: lade dir von Microsoft accesschk runter und und mach damit auf einer elevated shell mal
accesschk.exe VORDEFINIERT\Benutzer c:\Windows\ -w -s
bzw. (für englische Systeme)
accesschk.exe BUILTIN\Users c:\Windows\ -w -s
Das listet die Ordner auf, die ein Nutzer unterhalb von c:\windows beschreiben kann.
Das Selbe sicherheitshalber auch für "c:\program files" bzw. "c:\program files (x86)" ausführen.
Siehe dazu auch: Application Whitelisting - Umgang mit Systemdateien
DerWoWusste
DerWoWusste 19.04.2024 um 11:47:48 Uhr
Goto Top
Edit: als Pfad bitte für die Programme
accesschk.exe VORDEFINIERT\Benutzer "%ProgramFiles%" -w -s  
bzw.
accesschk.exe VORDEFINIERT\Benutzer "%ProgramFiles(x86)%" -w -s  
nutzen, da accesschk bei Leerzeichen im Pfad andernfalls abspackt.