Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Powershell Skript kann nicht geladen werden

Mitglied: renatus85

renatus85 (Level 1) - Jetzt verbinden

21.10.2019 um 11:11 Uhr, 352 Aufrufe, 15 Kommentare

Hallo,
ich habe folgendes Anliegen:

In unserer Organisation setzen wir AlwaysOn VPN ein. Das funktioniert soweit auch ohne Probleme. Seit ein paar Wochen funktioniert allerdings die Installation des Profils auf den Clients nicht mehr richtig. Das Profil (als XML-File in der NETLOGON-Freigabe unserer Domäne) wird mithilfe eines Powershell Skripts installiert (bei Anmeldung eines Benutzers als Task hinterlegt). Die Ausführung des Skripts wird als NT-AUTORITÄT\System vorgenommen. Das Skript befindet sich auch in der NETLOGON-Freigabe unserer Domäne. Das hat bis vor kurzem auch wunderbar funktioniert. Nun wurden vor einiger Zeit Änderungen am Profil vorgenommen. Dabei ist aufgefallen, dass die Ausführung bzw. das Laden des Skripts verhindert wird.

Fehlermeldung: \\Pfad zum Profil\skript.ps1: Die Datei "\\Pfad zum Profil\skript.ps1" kann nicht geladen werden, da der Vorgang durch Richtlinien für die Softwareeinschränkung, z.B. die von der Gruppenrichtlinie erstellten Richtlinien, blockiert wird.

CategoryInfo: Sicherheitsfehler: ( [], PSSecurityException

FullyQualifiedErrorID: UnauthorizedAccess

Dazu muss ich sagen, dass wir keine Richtlinien für die Softwareeinschränkung nutzen. Allerdings nutzen wir den AppLocker. Im Applocker ist das Ausführen von Skripts für den Pfad, in dem das Profil und das Skript liegen freigegeben. Das Skript hat eine gültige digitale Signatur.

Setze ich in der AppLocker GPO die Erzwingung für die Skriptregeln auf "überwachen" gibt es keine Probleme. Werden die Regeln jedoch erzwungen, erscheint die o.g. Fehlermeldung.

Ein Blick in die Ereignisanzeige hat Folgendes ergeben:

Anwendungs- und Dienstprotokolle > Microsoft > Windows > AppLocker: MSI und Skript kein Eintrag
Anwendungs- und Dienstprotokolle > Microsoft > Windows > Powershell: Operational (Fehlermeldung siehe oben)

Domänenfunktionsebene: Windows Server 2016
Client: Windows 10 Enterprise 1809

Ich hoffe hier kann mir jemand weiterhelfen. Vielen Dank schon mal im Voraus!
Mitglied: mathu
21.10.2019 um 12:58 Uhr
Hast du schon mal danach gegoogelt?
Ist wohl eine Sicherheitsfunktion von Powershell.

Siehe Born`s Seite
https://www.borncity.com/blog/2010/02/24/powershell-skripte-lassen-sich- ...

und hier:
https://www.windowspro.de/andreas-kroschel/powershell-executionpolicy-se ...
Bitte warten ..
Mitglied: DerWoWusste
21.10.2019 um 12:59 Uhr
Hi.

Vermutlich ist der zugelassene Pfad eben doch nicht der, den du verwendest.
Nutze mal auf der Powershell den Test: https://docs.microsoft.com/en-us/powershell/module/applocker/test-apploc ...
Bitte warten ..
Mitglied: renatus85
22.10.2019 um 06:29 Uhr
Moin,

danke für die Links, allerdings hat es nicht geklappt. Die ExecutionPolicy ist auf "RemoteSigned" festgelegt. Den Button "Zulassen" in der Registerkarte Allgemein gibt es nicht. Auch "AllSigned" hat nicht funktioniert.
Bitte warten ..
Mitglied: renatus85
22.10.2019 um 06:50 Uhr
Moin,

der Test schlägt fehl.

Fehlermeldung: Von AppLocker kann nicht festgestellt werden, ob die angegebene Datei \\Dateipfad\Datei.ps1 zulässig ist. Grund: Unbekannter Fehler
'*' verstößt gegen pattern-Einschränkungen von '([0-9]{1,5}.){3}[0-9]{1,5}'.
In Zeile:1 Zeichen:89
+... vert-Path | Test-AppLockerPolicy -XMLPolicy C:\Pfad zur exportierten AppLocker-Richtlinie\Effective.xml

+ CategoryInfo: NotSpecified: ( : ) [Test-AppLockerPolicy], TestFileAllowedException
+ FullyQualifiedErrorID: TestAppLockerPolicyCmdlet-FailedProcessingFile,Microsoft.Security.ApplicationId.PolicyManagement.Cmdlets.TestAppLockerPolicyCmdlet


Folgende Schritte habe ich ausgeführt:
1. Get-AppLockerPolicy –Effective –XML > <PathofFiletoExport.XML>
2. Get-ChildItem \\Pfad zum Skript\ –filter *.ps1 –Recurse | Convert-Path | Test-AppLockerPolicy –XMLPolicy C:\Pfad zur exportierten AppLocker-Richtlinie\Effective.xml
Bitte warten ..
Mitglied: DerWoWusste
22.10.2019, aktualisiert um 07:14 Uhr
Ok.

Bitte mal die echten Pfade, echte Testsyntax.
Bitte warten ..
Mitglied: renatus85
22.10.2019 um 07:26 Uhr
Okay:

Pfad in der AppLocker-Richtlinie, für den die Skriptausführung erlaubt ist: \\Domäne\NETLOGON\*

Richtlinie in XML exportieren: Get-AppLockerPolicy -Effective -XML > C:\Users\renatus85\Desktop\Effective.xml

Test: Get-ChildItem \\Domäne\NETLOGON\ –filter *.ps1 –Recurse | Convert-Path | Test-AppLockerPolicy –XMLPolicy C:\Users\renatus85\Desktop\Effective.xml
Bitte warten ..
Mitglied: DerWoWusste
22.10.2019 um 08:59 Uhr
Hm, was ist denn da faul?

Der Test sollte gelingen.
'*' verstößt gegen pattern-Einschränkungen
Ist eine deiner Regeln komisch geformt? Ich würde diese mal Stück für Stück abrüsten (ober Hälfte, dann obere Hälfte vom Rest und so weiter, bis du das Problem gefunden hast.
Bitte warten ..
Mitglied: renatus85
22.10.2019 um 10:58 Uhr
Bin mir nicht sicher, ob ich dich richtig verstanden habe. Ich habe jetzt folgendes gemacht:

Pfad geändert von \\Domäne\NETLOGON\* --> \\Domäne\NETLOGON\ --> ohne Erfolg
Pfad geändert von \\Domäne\NETLOGON\*--> \\Domäne\* --> ohne Erfolg
Pfad geändert von \\Domäne\NETLOGON\*--> \\Domäne\ --> ohne Erfolg
Pfad geändert von \\Domäne\NETLOGON\*--> \\* --> ohne Erfolg
Pfad geändert von \\Domäne\NETLOGON\*--> \\ --> ohne Erfolg

Zugelassen für "Jeder"

Auch eine Erweiterung des Pfads blieb ohne Erfolg.

\\Domäne\NETLOGON\AlwaysOn\*

und

\\Domäne\NETLOGON\AlwaysOn\InstallProfile.ps1

Außerdem ist mir eben folgendes aufgefallen:

Ich habe die Richtlinie nochmal getestet (wie oben beschrieben, jedoch immer ohne Erfolg), habe dort den zu überprüfenden Pfad (\\Domäne\NETLOGON\) angepasst. Unter anderem habe ich den Pfad verkürzt auf \\Domäne\

Daraufhin erscheint die Fehlermeldung: Get-ChildItem: Der Pfad "\\D" kann nicht gefunden werden, da er nicht vorhanden ist.
Bitte warten ..
Mitglied: DerWoWusste
22.10.2019 um 11:04 Uhr
Ich hatte Dich gebeten, deine Regeln abzurüsten (zu löschen), und zwar jeweils die Hälfte.
Dazu natürlich erst einmal die Regeln sichern über Export. Import siehe https://docs.microsoft.com/en-us/windows/security/threat-protection/wind ...
Bitte warten ..
Mitglied: renatus85
22.10.2019 um 13:01 Uhr
Alles klar. Sorry.

Ich dachte tatsächlich, den Fehler gefunden zu haben, aber Pustekuchen. Hab die Regeln gelöscht (vorher exportiert) und "festgestellt", dass die Standardregeln (diese habe ich zuletzt gelöscht) das Problem sind. Dann habe ich die Richtlinie über den Import wiederhergestellt. Hab dann die Standardregeln zuerst gelöscht, da ich ja der Meinung war, das diese schuld sind, und siehe da, es geht immer noch nix. Erst wenn alle Regeln gelöscht sind klappt alles einwandfrei. Füge ich eine Regel hinzu geht wieder gar nix...
Bitte warten ..
Mitglied: DerWoWusste
22.10.2019 um 13:51 Uhr
Die Standardregeln sind nur für die Ersteinrichtung gedacht. Microsoft rät davon ab, sie beizubehalten, da unsicher.
Bitte warten ..
Mitglied: renatus85
22.10.2019 um 13:57 Uhr
Danke für den Hinweis, allerdings funktioniert es auch ohne Standardregeln nicht. Selbst wenn nur eine einzige Regel drin steht (Zulassen für "Jeder"; \\Domäne\NETLOGON\*) passiert nix...
Bitte warten ..
Mitglied: DerWoWusste
22.10.2019 um 16:53 Uhr
Und was sagt nun der Test, welche Regel dafür verantwortlich ist?
Bitte warten ..
Mitglied: renatus85
22.10.2019 um 17:04 Uhr
So wie es aussieht ist es keine Skriptregel, die den Fehler verursacht. Habe mal alle Regeln gelöscht. Auch die Installer, ausführbaren und App Paketregeln. Hab dann nach und die Regeln wiederhergestellt und festgestellt, dass die Installer Regeln wahrscheinlich den Fehler verursachen. Dazu aber morgen mehr ;)
Bitte warten ..
Mitglied: renatus85
23.10.2019 um 06:40 Uhr
Moin,

kurzes Update: Die Installer-Regeln sind es nicht. So wie es aussieht habe ich zwei (oder mehr) Fehler. 1. Es funktioniert nur wenn alle Regeln, außer Skriptregeln, gelöscht werden und 2. funktioniert der AppLocker-Test (Test-AppLockerPolicy) immer noch nicht, obwohl die Skriptausführung funktioniert (so wie unter 1. beschrieben).

Diesmal ist die Fehlermeldung beim Test aber eine andere: Element nicht gefunden. (Ausnahme von HRESULT: 0x80070490)

Komischerweise listet der Test aber in der Fehlermeldung jedes einzelne Skript (*.ps1) auf, was er in dem zu überprüfenden Verzeichnis findet und erzählt mir dann was von "Element nicht gefunden"...
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Powershell Skript fehlerhaft?
Frage von SpeakerSTBatch & Shell3 Kommentare

Hallo, ich habe mir ein Powershell Skript geschriebe was bisher auch immer funktioniert hat aber unter einem Windows Server ...

Batch & Shell
Powershell CHAT Skript
gelöst Frage von xpxy15Batch & Shell5 Kommentare

Hallo Zusammen Ich möchte gerne ein Skript schreiben. Mit dem man in Lokalen Netz verschlüsselt "chatten" kann. Meine Frage ...

Windows Server
Powershell Skript Resize Disk
Frage von winlinWindows Server20 Kommentare

Ich habe folgenden Zweizeiler und versuche über einen Task Scheduler meine Disk nach dem ersten Neustart zu "resizen". Leider ...

Batch & Shell

Powershell Skript zur Aufgabenüberwachung

gelöst Frage von treshaBatch & Shell2 Kommentare

Hallo Leute, Ich versuche ein Skript zu schreiben, der eine bestimmte selbstgeschriebene Aufgabe überwacht und mir bei einer Störung ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

Extended Validation Certificates are (Really, Really) Dead

Information von Dani vor 1 TagVerschlüsselung & Zertifikate

Moin all, sehr interessanter Artikel zu EV SSL/TLS- Zertifikate von Troy Hunt: Gruß, Dani

Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 3 TagenHumor (lol)8 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 4 TagenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 4 TagenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Heiß diskutierte Inhalte
Mac OS X
Mac Startfehler: Too many corpses created
Frage von winlinMac OS X24 Kommentare

Seit meinem letzten update komme ich nach der Anmeldung nixht mehr weiter. Der Fortschrittsbalken nach der Anmeldung geht bis ...

Server
Suche günstigen Server für erste Schritte mit Microsoft Windows Server 2016 + Exchange
gelöst Frage von vodaviServer19 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem preiswerten, aber guten Server. Mir geht es darum, dass ich ...

Schulung & Training
Was sollte man im Helpdesk bzw Service Desk 1st Level wissen
Frage von loubertSchulung & Training16 Kommentare

Hallo zusammen, ich fange demnächst in einem IT-Systemhaus meinen neuen Job im IT-Helpdesk (UHD), 1st Level (für externe Kunden,) ...

Windows XP
Zugriff auf WindowsXP-Freigabe nur per Eingabeaufforderung möglich
Frage von FA-jkaWindows XP11 Kommentare

Hallo, ich installiere gerade in einer VM WindowsXP; um dort eine "antike" Anwendung zu betreiben. Mit dieser werden historische ...