demonix
09.01.2018
view5584
view4
0
Goto Top

Applocker sperrt Freigegebene Anwendungen

FrageMicrosoftWindows Netzwerk
Moin zusammen

ich weiß, AppLocker zu implementieren setzt masochistische Neigungen voraus, aber das steht hier nicht zur Debatte face-smile

Gegeben: Windows Domäne unter 2012 R2. Windows 7 SP1 Clients mit Office 2010 SP1.
U.a. eine (default) Applocker Regel, die alle Office-Programme für "Jeder" zulässt.

Wir haben Sporadisch an einigen Arbeitsstationen das Problem, das direkt nach dem Anmelden oder auch mal nach ein paar Stunden bspw. Excel nicht gestartet werden kann.

Der Rechner bootet, bekommt alle Computer-Richtlinien. Nutzer meldet sich am Rechner an und bekommt Netzlaufwerke, Drucker, etc... Die Ereignisanzeige ist bis zu diesem Zeitpunkt unauffällig.
Allerdings startet Excel über die Desktopverknüpfung nicht mit der Meldung "Dieses Programm wurde von einer Gruppenrichtlinie gesperrt"
Ein "Ausführen als.." hat leider keine Wirkung. Die .exe direkt zu starten schlägt ebenso fehl wie der Aufruf aus einem "Elevated prompt". Allerdings starten zu dem Zeitpunkt *.exe Dateien aus einem anderen für Applocker freigegebenen Ordner, nur Office eben nicht.

Die Ereignisanzeige meldet "8004: Ausführung von %OSDRIVE%\PROGRA~2\MICROS~1\OFFICE14\WINWORD.EXE wurde verhindert."

Oft tritt das Problem ja auf, wenn potentiell unsichere Anhänge geöffnet werden, die das entsprechende Programm dann unter einem "reduced token" ausführen. Das ist bei uns nicht der Fall, da auch der direkte Aufruf der .exe ohne den Umweg über Outlook den Fehler provoziert bzw. Outlook zu diesem Zeitpunkt gar nicht läuft.

Im Prinzip habe ich das Problem, das hier beschrieben ist, aber der Patch scheint entweder in einem anderen Update aufzugehen und ist wirkungslos oder ist aus einem anderen Grund "nicht für Ihr System geeignet"...

Die Liste der Vertrauenswürdigen Speicherorte habe ich schon zusammen mit den Kollegen angepasst, ohne Wirkung.

Hat jemand Erfahrungen in dieser Richtung gemacht oder hat noch eine Idee wo ich ansetzen könnte?

Gruß
Rob
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 360426

Url: https://administrator.de/contentid/360426

Ausgedruckt am: 23.11.2024 um 02:11 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
DerWoWusste
DerWoWusste 09.01.2018 um 14:15:03 Uhr
Goto Top
Hi.

Läuft das Event überhaupt im Applocker-EventLog auf? Wenn nicht, ist Applocker nicht die Ursache.
Demonix
Demonix 09.01.2018 um 14:22:57 Uhr
Goto Top
Meinst du

Zitat von @Demonix:
Die Ereignisanzeige meldet "8004: Ausführung von %OSDRIVE%\PROGRA~2\MICROS~1\OFFICE14\WINWORD.EXE wurde verhindert."
?
DerWoWusste
DerWoWusste 09.01.2018 um 15:46:29 Uhr
Goto Top
Stimmt, 8004 ist in der Tat Applocker.

Nee, kann ich Dir nicht erklären. Ich nutze Applocker schon seit Jahren und auf verschiedenen OS' - hatte ich so noch nicht.
Mach doch mal im Fehlerzustand einen test mit Powershell:
Test-applockerpolicy
Demonix
Demonix 09.01.2018, aktualisiert am 10.01.2018 um 13:41:37 Uhr
Goto Top
Danke für den Tipp, werde ich beim nächsten mal machen und das Ergebnis reporten. face-smile


So, jetzt wirds gruselig...

Get-AppLockerPolicy –Effective –XML > C:\DIAG\Effective.xml
Get-ChildItem 'C:\Program Files (x86)\Microsoft Office\' –filter *.exe –Recurse | Convert-Path | Test-AppLockerPolicy –XMLPolicy C:\DIAG\Effective.xml –User $env:UserName –Filter Denied,DeniedByDefault | Export-CSV C:\DIAG\BlockedFiles.csv

Die Ausgabe ist eine leere csv.

Wenn ich den Filter auf Allowed setze, bekomme ich eine schicke liste mit allen Ausnahmen im Office14 Ordner...

#TYPE Microsoft.Security.ApplicationId.PolicyManagement.AppLockerPolicyDecision
FilePath,"PolicyDecision","MatchingRule"  
C:\Program Files (x86)\Microsoft Office\Office14\ACCICONS.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\CLVIEW.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\CNFNOT32.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\EXCEL.EXE,"Allowed","Excel"  
C:\Program Files (x86)\Microsoft Office\Office14\excelcnv.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\GRAPH.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\GROOVEMN.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\IEContentService.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\INFOPATH.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\misc.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\MSACCESS.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\MSOHTMED.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\MSOUC.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\MSPUB.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\MSQRY32.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\MSTORDB.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\MSTORE.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\NAMECONTROLSERVER.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\OIS.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\ONENOTE.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\ORGCHART.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\OUTLOOK.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\POWERPNT.EXE,"Allowed","PowerPoint"  
C:\Program Files (x86)\Microsoft Office\Office14\PPTICO.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\protocolhandler.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\SCANPST.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\SELFCERT.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\SETLANG.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\VPREVIEW.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\Wordconv.exe,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\WORDICON.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\XLICONS.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\1031\ONELEV.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""  
C:\Program Files (x86)\Microsoft Office\Office14\1031\SETUP.EXE,"Allowed","(Standardregel) Alle Dateien im Ordner ""Programme"""

Da dieser "Fehler" nur sporadisch, ohne erkenbaren zusammenhang mit anderen Events auftriftt, konnte ich das in meiner Testumgebung bisher nicht mal anchstellen...
Werde jetzt nochmal einen Satz Policys erstellen und ein paar Kollegen in der Test-OU arbeiten lassen. Wer weiß...

Trozudem danke für den Hinweis DWW
Gruß
FrageMicrosoftWindows Netzwerk
Mehr von DemonixDemonixMicrosoft Download Center - Page not foundDemonix - 8 KommentareDemonixWin7 - Drucker endlich wieder online (nach Drucker-Stromsparmodus)Demonix - 3 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare