4
Applocker sperrt Freigegebene Anwendungen
Moin zusammen
ich weiß, AppLocker zu implementieren setzt masochistische Neigungen voraus, aber das steht hier nicht zur Debatte
Gegeben: Windows Domäne unter 2012 R2. Windows 7 SP1 Clients mit Office 2010 SP1.
U.a. eine (default) Applocker Regel, die alle Office-Programme für "Jeder" zulässt.
Wir haben Sporadisch an einigen Arbeitsstationen das Problem, das direkt nach dem Anmelden oder auch mal nach ein paar Stunden bspw. Excel nicht gestartet werden kann.
Der Rechner bootet, bekommt alle Computer-Richtlinien. Nutzer meldet sich am Rechner an und bekommt Netzlaufwerke, Drucker, etc... Die Ereignisanzeige ist bis zu diesem Zeitpunkt unauffällig.
Allerdings startet Excel über die Desktopverknüpfung nicht mit der Meldung "Dieses Programm wurde von einer Gruppenrichtlinie gesperrt"
Ein "Ausführen als.." hat leider keine Wirkung. Die .exe direkt zu starten schlägt ebenso fehl wie der Aufruf aus einem "Elevated prompt". Allerdings starten zu dem Zeitpunkt *.exe Dateien aus einem anderen für Applocker freigegebenen Ordner, nur Office eben nicht.
Die Ereignisanzeige meldet "8004: Ausführung von %OSDRIVE%\PROGRA~2\MICROS~1\OFFICE14\WINWORD.EXE wurde verhindert."
Oft tritt das Problem ja auf, wenn potentiell unsichere Anhänge geöffnet werden, die das entsprechende Programm dann unter einem "reduced token" ausführen. Das ist bei uns nicht der Fall, da auch der direkte Aufruf der .exe ohne den Umweg über Outlook den Fehler provoziert bzw. Outlook zu diesem Zeitpunkt gar nicht läuft.
Im Prinzip habe ich das Problem, das hier beschrieben ist, aber der Patch scheint entweder in einem anderen Update aufzugehen und ist wirkungslos oder ist aus einem anderen Grund "nicht für Ihr System geeignet"...
Die Liste der Vertrauenswürdigen Speicherorte habe ich schon zusammen mit den Kollegen angepasst, ohne Wirkung.
Hat jemand Erfahrungen in dieser Richtung gemacht oder hat noch eine Idee wo ich ansetzen könnte?
Gruß
Rob
ich weiß, AppLocker zu implementieren setzt masochistische Neigungen voraus, aber das steht hier nicht zur Debatte
Gegeben: Windows Domäne unter 2012 R2. Windows 7 SP1 Clients mit Office 2010 SP1.
U.a. eine (default) Applocker Regel, die alle Office-Programme für "Jeder" zulässt.
Wir haben Sporadisch an einigen Arbeitsstationen das Problem, das direkt nach dem Anmelden oder auch mal nach ein paar Stunden bspw. Excel nicht gestartet werden kann.
Der Rechner bootet, bekommt alle Computer-Richtlinien. Nutzer meldet sich am Rechner an und bekommt Netzlaufwerke, Drucker, etc... Die Ereignisanzeige ist bis zu diesem Zeitpunkt unauffällig.
Allerdings startet Excel über die Desktopverknüpfung nicht mit der Meldung "Dieses Programm wurde von einer Gruppenrichtlinie gesperrt"
Ein "Ausführen als.." hat leider keine Wirkung. Die .exe direkt zu starten schlägt ebenso fehl wie der Aufruf aus einem "Elevated prompt". Allerdings starten zu dem Zeitpunkt *.exe Dateien aus einem anderen für Applocker freigegebenen Ordner, nur Office eben nicht.
Die Ereignisanzeige meldet "8004: Ausführung von %OSDRIVE%\PROGRA~2\MICROS~1\OFFICE14\WINWORD.EXE wurde verhindert."
Oft tritt das Problem ja auf, wenn potentiell unsichere Anhänge geöffnet werden, die das entsprechende Programm dann unter einem "reduced token" ausführen. Das ist bei uns nicht der Fall, da auch der direkte Aufruf der .exe ohne den Umweg über Outlook den Fehler provoziert bzw. Outlook zu diesem Zeitpunkt gar nicht läuft.
Im Prinzip habe ich das Problem, das hier beschrieben ist, aber der Patch scheint entweder in einem anderen Update aufzugehen und ist wirkungslos oder ist aus einem anderen Grund "nicht für Ihr System geeignet"...
Die Liste der Vertrauenswürdigen Speicherorte habe ich schon zusammen mit den Kollegen angepasst, ohne Wirkung.
Hat jemand Erfahrungen in dieser Richtung gemacht oder hat noch eine Idee wo ich ansetzen könnte?
Gruß
Rob
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 360426
Url: https://administrator.de/contentid/360426
Printed on: April 24, 2024 at 07:04 o'clock
4 Comments
Latest comment
Hi.
Läuft das Event überhaupt im Applocker-EventLog auf? Wenn nicht, ist Applocker nicht die Ursache.
Läuft das Event überhaupt im Applocker-EventLog auf? Wenn nicht, ist Applocker nicht die Ursache.
Meinst du
Zitat von @Demonix:
Die Ereignisanzeige meldet "8004: Ausführung von %OSDRIVE%\PROGRA~2\MICROS~1\OFFICE14\WINWORD.EXE wurde verhindert."
?Die Ereignisanzeige meldet "8004: Ausführung von %OSDRIVE%\PROGRA~2\MICROS~1\OFFICE14\WINWORD.EXE wurde verhindert."
Stimmt, 8004 ist in der Tat Applocker.
Nee, kann ich Dir nicht erklären. Ich nutze Applocker schon seit Jahren und auf verschiedenen OS' - hatte ich so noch nicht.
Mach doch mal im Fehlerzustand einen test mit Powershell:
Test-applockerpolicy
Nee, kann ich Dir nicht erklären. Ich nutze Applocker schon seit Jahren und auf verschiedenen OS' - hatte ich so noch nicht.
Mach doch mal im Fehlerzustand einen test mit Powershell:
Test-applockerpolicy
Danke für den Tipp, werde ich beim nächsten mal machen und das Ergebnis reporten.
So, jetzt wirds gruselig...
Die Ausgabe ist eine leere csv.
Wenn ich den Filter auf Allowed setze, bekomme ich eine schicke liste mit allen Ausnahmen im Office14 Ordner...
Da dieser "Fehler" nur sporadisch, ohne erkenbaren zusammenhang mit anderen Events auftriftt, konnte ich das in meiner Testumgebung bisher nicht mal anchstellen...
Werde jetzt nochmal einen Satz Policys erstellen und ein paar Kollegen in der Test-OU arbeiten lassen. Wer weiß...
Trozudem danke für den Hinweis DWW
Gruß
So, jetzt wirds gruselig...
Get-AppLockerPolicy –Effective –XML > C:\DIAG\Effective.xml
Get-ChildItem 'C:\Program Files (x86)\Microsoft Office\' –filter *.exe –Recurse | Convert-Path | Test-AppLockerPolicy –XMLPolicy C:\DIAG\Effective.xml –User $env:UserName –Filter Denied,DeniedByDefault | Export-CSV C:\DIAG\BlockedFiles.csv Die Ausgabe ist eine leere csv.
Wenn ich den Filter auf Allowed setze, bekomme ich eine schicke liste mit allen Ausnahmen im Office14 Ordner...
#TYPE Microsoft.Security.ApplicationId.PolicyManagement.AppLockerPolicyDecision
FilePath,"PolicyDecision","MatchingRule"
C:\Program Files (x86)\Microsoft Office\Office14\ACCICONS.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\CLVIEW.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\CNFNOT32.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\EXCEL.EXE,"Allowed","Excel"
C:\Program Files (x86)\Microsoft Office\Office14\excelcnv.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\GRAPH.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\GROOVEMN.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\IEContentService.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\INFOPATH.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\misc.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\MSACCESS.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\MSOHTMED.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\MSOUC.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\MSPUB.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\MSQRY32.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\MSTORDB.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\MSTORE.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\NAMECONTROLSERVER.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\OIS.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\ONENOTE.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\ORGCHART.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\OUTLOOK.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE,"Allowed","PowerPoint"
C:\Program Files (x86)\Microsoft Office\Office14\PPTICO.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\protocolhandler.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\SCANPST.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\SELFCERT.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\SETLANG.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\VPREVIEW.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\Wordconv.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\WORDICON.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\XLICONS.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\1031\ONELEV.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""
C:\Program Files (x86)\Microsoft Office\Office14\1031\SETUP.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme""" Da dieser "Fehler" nur sporadisch, ohne erkenbaren zusammenhang mit anderen Events auftriftt, konnte ich das in meiner Testumgebung bisher nicht mal anchstellen...
Werde jetzt nochmal einen Satz Policys erstellen und ein paar Kollegen in der Test-OU arbeiten lassen. Wer weiß...
Trozudem danke für den Hinweis DWW
Gruß
