fright
Goto Top

Applocker GPO

Moin zusammen,

ich habe einmal eine Frage wie ihr es angestellt habt die Applocker Struktur aufgebaut habt.

Da die GPO ja müssen ja auf die Computer nicht die Benutzer angewedet werden soweit ich das jetzt gesehen hatte.
Da wir verschiede Abteilungen haben mit verschiedener Software habe ich erstmal in der Testumgebung Notebooks aufgesetzt.

Notebook Standardbetankung
Notebook Abteilung 1
Notebook Abteilung 2 usw.

Anfangs dachte ich noch schön kannst unter Mitglieder die GPOs bestimmt aufteilen nach Ämtern. Oben ganz einfach die standard betankung nehmen und dann bei den Ämtern einfach die zusätzlichen Software freigeben die sie Benötigen, was nicht geht.
Die PCs selbst sind unter Computer nicht sortiert in der AD....

Wie habt ihr das ganze aufgebaut in der AD usw?

Würde mich sher über anregungen freuen.

Content-ID: 3854754415

Url: https://administrator.de/contentid/3854754415

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

UnbekannterNR1
UnbekannterNR1 06.09.2022 aktualisiert um 11:28:50 Uhr
Goto Top
Hallo,
ich habe das so gemacht:
Zwei bis drei Basis GPOs. die je für so ziemlich alle Clients gelten.
1. Eine Regel die Applocker aktiviert und die Regeln erzwingt (whiteList) hier sind auch die Standard Regeln drin für alle User, alles in c:\Programme erlauben + die Windows Default Apps.
2. Eine Regel die unsere Erlaubte Software beinhaltet Teils Hashwerte teils Herausgeber. Wichtig an der Stelle Du kannst in den Applocker Regeln bestimmen wer welche Software ausführen Darf. Als Beispiel ein Taschenrechner darf jeder ausführen aber die Buchhaltungssoftware nur Benutzer die auch in der Gruppe Buchhaltung sind. So kann man das sehr stark erweitern. Also kurz uns knapp nach Benutzergruppe ;)
Mann könnte auch ggf. mehrere GPOs machen pro Software oder Themengebiet für einen bessere Übersicht das kommt aber auf dem Umfang eurer Software an.
Fright
Fright 06.09.2022 um 11:48:14 Uhr
Goto Top
Zitat von @UnbekannterNR1:

Hallo,
ich habe das so gemacht:
Zwei bis drei Basis GPOs. die je für so ziemlich alle Clients gelten.
1. Eine Regel die Applocker aktiviert und die Regeln erzwingt (whiteList) hier sind auch die Standard Regeln drin für alle User, alles in c:\Programme erlauben + die Windows Default Apps.
2. Eine Regel die unsere Erlaubte Software beinhaltet Teils Hashwerte teils Herausgeber. Wichtig an der Stelle Du kannst in den Applocker Regeln bestimmen wer welche Software ausführen Darf. Als Beispiel ein Taschenrechner darf jeder ausführen aber die Buchhaltungssoftware nur Benutzer die auch in der Gruppe Buchhaltung sind. So kann man das sehr stark erweitern. Also kurz uns knapp nach Benutzergruppe ;)
Mann könnte auch ggf. mehrere GPOs machen pro Software oder Themengebiet für einen bessere Übersicht das kommt aber auf dem Umfang eurer Software an.

Das mit Benutzergruppen habe ich tatsächlich jetzt total übersehen beim Testen, schande über mein Haupt.

Du meintest du hast die Standardregeln benutzt und zusätzlich dann noch Signatur und Hashwerte. Habe die Standard Regeln jetzt weg gelassen da ja der Tempordner zum beispiel "RW" Rechte hat. daher mit der Pfadfreigabe ausgenutzt werden kann oder liege ich da falsch? bin erst recht frisch eingestiegen in das ganze Thema.
UnbekannterNR1
UnbekannterNR1 06.09.2022 um 12:02:02 Uhr
Goto Top
Du meintest du hast die Standardregeln benutzt und zusätzlich dann noch Signatur und Hashwerte. Habe die Standard Regeln jetzt weg gelassen da ja der Tempordner zum beispiel "RW" Rechte hat. daher mit der Pfadfreigabe ausgenutzt werden kann oder liege ich da falsch? bin erst recht frisch eingestiegen in das ganze Thema.


Genau, aber die Standardregeln wirst Du Wahrscheinlich brauchen weil sonst ggf. nicht mal mehr der Explorer startet. Aber der Hinweis mit dem Temp Ordner ist sehr gut werde ich Prüfen. Und zwar ist es möglich auch in dem Standard Regeln Ausnahmen zu definieren. Z.B. alle Dateien aus %windir% außer Ordner Temp. Ich habe so z.B. PowerShell rausgenommen um den Usern zu verweigern Powershell zu nutzen. Und Später eine Regel gesetzt das IT User PowerShell dann doch benutzen dürfen.
Dani
Dani 07.09.2022 um 10:44:17 Uhr
Goto Top
Moin,
bin erst recht frisch eingestiegen in das ganze Thema.
Dann ist der Artikel Applocker oder Software Restriction Policies - Löcher im Sicherheitszaun eine Pflichtlektüre.

Du meintest du hast die Standardregeln benutzt und zusätzlich dann noch Signatur und Hashwerte.
Bei den Standardregeln würde ich auf Signatur und Hashwerke verzichten. Denn anderenfalls könnte dir jedes Micosoft Update böse auf die Füße fallen. Zum anderen gibt es eigentlich in jedem Unternehmen ein oder mehrere Laufwerke, die Prorgamme für Nutzer bereitstellt und nur die IT Schreibzugriff hat. Auch hier wird meistens auf Hashwerte verzichtet.

Grundsätzlich bietet es sich an nach der Planung den Audit Modus für AppLocker zu aktivieren und zu schauen, wie gut dein Regelwerk entworfen ist. Somit findes du mögliche Fehler ohne dass deine Nutzer davon was merken und Einschränkungen haben. Wichtig ist zu wissen, dass Applocker nicht als GPO sondern als GPP agieren. D.h. bei Problemen nicht einfach Applocker deaktivieren sondern die Regeln umkehren.


Gruß,
Dani