Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 10 Applocker und Teams und OneDrive

Mitglied: 1st1

1st1 (Level 1) - Jetzt verbinden

03.08.2020 um 16:50 Uhr, 216 Aufrufe, 9 Kommentare

Hi, ich habe hier ein Problem mit Applocker. Der Applocker ist in der Domäne per GPO aktiviert und nach Best Practizes plus diverse unternehmenesspezifische zusäzliche Pfade erweitert umgesetzt. Die PCs haben WIn 10 Enterprise und bisher funktionierte alles auch gut. Das Ausführen von Programmen aus Userprofil-Verzeichnissen oder sonstigen für den Benutzer beschreibbaren Verzeichnissen wird so erfolgreich verhindert. Dabei wurden auch die Ausnahmen von den Ausnahmen berücksichtigt, die von Stefan Kanthak und schneeganz.de schon per Software-Restriction-Policy empfohlen wurden. Unter Packaged App-Execution sind fast ale Apps freigegeben, außer der Windows-Store, die Leuts sollen keine Apps von dort beziehen können.

Jetzt aber muss auf Microsoft 365 umgestellt werden und OneDrive (for Business) und Teams sollen benutzt werden können. Das wurde bisher nicht erlaubt, jetzt aber Wendung um 180°. Ich finde allerdings, dass Microsoft da einen ziemlich krassen Bockmist gebaut hat, weil die Dateien der Applikation von Teams und OneDrive als auch die zugehörigen Update-Dienste als Exe im Benutzerprofil unter Appdata liegen. Um das mal so zu umschreiben, das ist IMHO unter aller Kanone.

Dazu habe ich in Applocker unter EXE und DLL Regeln eine Regel definiert, die ausnahmslos alle von Microsoft signierten Programme erlaubt. Das ist keine Pfadregel, sondern eine Signatur-Regel. Dennoch werden beide Sachen von Applocker weiterhin gesperrt.

Hab ich da was übersehen?

Zusatzfrage: Muss ich demnächst damit rechnen, dass auch Office 365 zusätzliche Berücksichtigung in Applocker erfordert?
Mitglied: DerWoWusste
03.08.2020 um 17:10 Uhr
Hi.

Benutze mal das PS-cmdlet test-applockerpolicy
Was spuckt das aus?
Bitte warten ..
Mitglied: DerWoWusste
03.08.2020 um 19:07 Uhr
Ich glaube, auf deutsch muss man schreiben
Bitte warten ..
Mitglied: 1st1
04.08.2020 um 08:49 Uhr
Wenn ich den Pfad mit $env nehme, bekomme ich {1} als Erfebnis zurück. Wenn ich für -Path den Pfad c:\ProgramData\Username\Squirreltemp\*.exe eingebe, an dem die Update.exe von Teams liegt, die da gesperrt wird, bekomme ich "AllowedByDefault" ausgespuckt. Aber genau diese Exe erscheint im Eventlog in den Logs von Applocker. Vom Teams Installer bekomme ich in einem Fenster den Fehler "Installation has faild - Failed to extract installer". Die Update.exe ist aber zuammen mit anderen Dateien in dem Ordner drin. Auch wenn ich diese Update.exe direkt starte, bekomme ich eine Applocker-Meldung und den entsprechenden Eintrag im Eventlog.
Bitte warten ..
Mitglied: DerWoWusste
04.08.2020 um 09:08 Uhr
Teste das Kommando auch gegen dein Konto, mit dem du die exe ausführst.
Wenn es dann sagt "erlaubt" und du jedoch im Eventlog siehst, dass eben diese .exe geblockt wird, dann spinnt applocker bei Dir und ich würde es mit trivialen Dingen wie Neustart versuchen.
Bitte warten ..
Mitglied: 1st1
04.08.2020 um 09:32 Uhr
Bleibt bei AllowedByDefault. Neustarts habe ich schon mehrere gemacht.

Hab auch in der Enterprise-AV.Konsole nachgeschaut, auch da nix.
Bitte warten ..
Mitglied: DerWoWusste
04.08.2020, aktualisiert um 09:34 Uhr
Nimm Dir nun einen leeren Testrechner (VM) und stell das genau so nach und schau, ob es dort läuft, wie erwartet.
Bitte warten ..
Mitglied: 1st1
04.08.2020 um 10:00 Uhr
Ich brauche da keine Test-VM, denn wie ich mittlerweile sehe, sind andere PCs nicht betroffen, wir haben Teams schonmal ein paar Key-Usern zum Testen und Einrichten von Abteilungsgruppen schonmal gegeben. Momentan sehe ich das nur bei meinem. Aber noch nutzt nicht jeder Teams, es könnten also noch welche dazu kommen.

Wie kann ich Applocker auf dem PC "resetten"?
Bitte warten ..
Mitglied: DerWoWusste
04.08.2020 um 10:07 Uhr
Manchmal spinnt Applocker - hab ich im laufe der Jahre schon mehrfach gesehen.
Du kannst nur ein weiteres Mal eine Regel ändern (oder eine Test.exe hinzufügen) und dann hoffen, dass nach einem lokalen gpupdate wieder alles läuft, wie es soll.

Wenn das nichts bring, bleibt dir allenfalls die Möglichkeit, in der Registry nachzusehen, was da eingetragen ist unter HKEY_LOCAL_Machine\Software\Policies\Microsoft\Windows\SrpV2
Bitte warten ..
Mitglied: 1st1
04.08.2020 um 10:55 Uhr
Das mit der Registry wusste ich noch nicht, interessant, aber die Regeln sind dort drin, so wie sie in der GPO definiert sind.

Ich mache mal eine Quatschregel und danach gpupdate und schau mal...
Bitte warten ..
Ähnliche Inhalte
Windows Update

Was ist das "Funktionsupdate für Windows 10 Team, Version 1607, de-de"

gelöst Frage von Ex0r2k16Windows Update1 Kommentar

Hallo ! Mein Wsus verteilt (im Gegensatz zu den meisten :D) das normale 1607er Upgrade ohne Probleme. Heute Nacht ...

Exchange Server

Team Kalender OWA

Frage von LeeX01Exchange Server

Hallo, Outlook (schon seit 2010 bis 2019) zeigt die Kalender der Kollegen in der Gruppe Team automatisch durch das ...

Windows Server

Win2k19 Hyper-V NIC-Team

gelöst Frage von ti-buhWindows Server2 Kommentare

Hallo Freunde, Wir haben hier einen Lenovo ST550 mit Windows Server 2019 Standard. Hyper-V Rolle ist installiert. Server hat ...

Netzwerkmanagement

Brauchbare Alternative für Team viewer

Frage von moxalisaNetzwerkmanagement28 Kommentare

Guten Abend, ich bin auf der Suche nach einer brauchbaren Alternative zu Team Viewer. Das Tool sollte auf den ...

Neue Wissensbeiträge
Microsoft
Manage USB Devices on Windows Hosts
Ticker von Dani vor 1 StundeMicrosoft1 Kommentar

Raven is a Miniature Schnauzer that doesn’t like small critters in the yard unless they can fly. This gives ...

Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 3 TagenMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 3 TagenVirtualisierung1 Kommentar

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 3 TagenFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Heiß diskutierte Inhalte
Backup
Gesicherter Backupserver gesucht
gelöst Frage von lcer00Backup16 Kommentare

Hallo zusammen, ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: DerWoWusste Danke für den Link ...

Windows Server
Win Server2016 Datacenter Installation Frage
Frage von UschadeWindows Server15 Kommentare

Hallo vereehrte Kolleginnen und Kollegen, Ich versuche einen Win Server2016 Datacenter zu installieren. Das Blech ist ein Fujitsu Primergy ...

Router & Routing
VPN Performance verbessern
Frage von JseidiRouter & Routing15 Kommentare

Hallo zusammen, Ich benötige einmal ein paar Tips von euch. Die Ausgangssitustion ist wie folgt: Standort 1: VDSL100 mit ...

Windows Server
Hochstufen zum DC aufgrund Replikationsproblemen nicht möglich
Frage von FlinxitWindows Server9 Kommentare

Hallo, Wir haben ein Netzwerk übernommen, in welchem ein DC momentan aktiv ist, ein weiterer im AD angegebener DC ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN