2
Applocker sperrt Office Datei öffnen aus Outlook
Hallo,
in einer reinen W2k8 R2 Domainumgebung wird der Applocker zum Schutz der Anwendungen eingesetzt. Es gibt keine Standardregeln. Es sind nur die Anwendungen erlaubt, die explizit per Applockerregel definiert sind. Für Office wurde eine Herausgeberregel verwendet.
Wenn ich ein Officeprodukt starte, sehe ich im Applocker Ereignisprotokoll diese Meldung.
Bis hier hin ist alles okay, denn die Anwendung liegt im Pfad %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE und wird gestartet. Wenn ich im Outlook eine Mail mit einen Officedateianhang, in meinen Fall ein Worddokument, öffne, kommt diese Meldung.
Die gleiche Anwendung wird geblockt.
Öffne ich ein Worddokument, in dem ich das Dokument per Doppelklick öffne, geht Word ohne Probleme auf. Nur wenn ich aus einer Mail öffne, macht der Applocker diese Probleme.
Könnt Ihr euch das irgendwie erklären?
Gruß,
mexx
in einer reinen W2k8 R2 Domainumgebung wird der Applocker zum Schutz der Anwendungen eingesetzt. Es gibt keine Standardregeln. Es sind nur die Anwendungen erlaubt, die explizit per Applockerregel definiert sind. Für Office wurde eine Herausgeberregel verwendet.
Wenn ich ein Officeprodukt starte, sehe ich im Applocker Ereignisprotokoll diese Meldung.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
ALLGEMEIN:
Die Ausführung von %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE wurde zugelassen.
DETAILS:
- System
- Provider
[ Name] Microsoft-Windows-AppLocker
[ Guid] {CBDA4DBF-8D5D-4F69-9578-BE14AA540D22}
EventID 8002
Version 0
Level 4
Task 0
Opcode 0
Keywords 0x8000000000000000
- TimeCreated
[ SystemTime] 2013-07-22T12:59:29.898651100Z
EventRecordID 36665
Correlation
- Execution
[ ProcessID] 1976
[ ThreadID] 7956
Channel Microsoft-Windows-AppLocker/EXE and DLL
Computer ***********
- Security
[ UserID] S-1-5-21-****
- UserData
- RuleAndFileData
PolicyName EXE
RuleId {5EA342E4-A13F-46DC-9F12-**********}
RuleName MICROSOFT OFFICE 2010, aus O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US
RuleSddl D:(XA;;FX;;;S-1-5-21-1974556877-701200001-1594628879-5988;((Exists APPID://FQBN) && ((APPID://FQBN) >= ({"O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2010\*",0}))))
TargetUser S-1-5-21-********************
TargetProcessId 8244
FilePath %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE
FileHash
Fqbn O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2010\WINWORD.EXE\14.0.6129.5000 Bis hier hin ist alles okay, denn die Anwendung liegt im Pfad %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE und wird gestartet. Wenn ich im Outlook eine Mail mit einen Officedateianhang, in meinen Fall ein Worddokument, öffne, kommt diese Meldung.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
ALLGEMEIN:
Die Ausführung von %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE wurde verhindert.
DETAILS:
- System
- Provider
[ Name] Microsoft-Windows-AppLocker
[ Guid] {CBDA4DBF-8D5D-4F69-9578-BE14AA540D22}
EventID 8004
Version 0
Level 2
Task 0
Opcode 0
Keywords 0x8000000000000000
- TimeCreated
[ SystemTime] 2013-07-22T12:59:30.616255700Z
EventRecordID 36666
Correlation
- Execution
[ ProcessID] 8776
[ ThreadID] 4796
Channel Microsoft-Windows-AppLocker/EXE and DLL
Computer **************
- Security
[ UserID] S-1-5-21-********************
- UserData
- RuleAndFileData
PolicyName EXE
RuleId {00000000-0000-0000-0000-000000000000}
RuleName -
RuleSddl -
TargetUser S-1-5-21-**********************
TargetProcessId 9960
FilePath %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE
FileHash
Fqbn O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2010\WINWORD.EXE\14.0.6129.5000
Die gleiche Anwendung wird geblockt.
Öffne ich ein Worddokument, in dem ich das Dokument per Doppelklick öffne, geht Word ohne Probleme auf. Nur wenn ich aus einer Mail öffne, macht der Applocker diese Probleme.
Könnt Ihr euch das irgendwie erklären?
Gruß,
mexx
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 212094
Url: https://administrator.de/forum/applocker-sperrt-office-datei-oeffnen-aus-outlook-212094.html
Ausgedruckt am: 08.04.2025 um 09:04 Uhr
2 Kommentare
Neuester Kommentar
1
Daran lag es!
Wenn der Applocker genutzt wird und die Officeprodukte regelt, kommt es beim Öffnen von Dokumenten aus Outlook zu einer Fehlsperrung. Das liegt daran, dass die Dokumente im geschützten Modus geöffnet werden.
Das Hitfix hier hat mir geholfen. DasProblem ist gelöst.
http://support.microsoft.com/kb/2532445
Wenn der Applocker genutzt wird und die Officeprodukte regelt, kommt es beim Öffnen von Dokumenten aus Outlook zu einer Fehlsperrung. Das liegt daran, dass die Dokumente im geschützten Modus geöffnet werden.
Das Hitfix hier hat mir geholfen. DasProblem ist gelöst.
http://support.microsoft.com/kb/2532445
