9
Windows 10 Applocker und Teams und OneDrive
Hi, ich habe hier ein Problem mit Applocker. Der Applocker ist in der Domäne per GPO aktiviert und nach Best Practizes plus diverse unternehmenesspezifische zusäzliche Pfade erweitert umgesetzt. Die PCs haben WIn 10 Enterprise und bisher funktionierte alles auch gut. Das Ausführen von Programmen aus Userprofil-Verzeichnissen oder sonstigen für den Benutzer beschreibbaren Verzeichnissen wird so erfolgreich verhindert. Dabei wurden auch die Ausnahmen von den Ausnahmen berücksichtigt, die von Stefan Kanthak und schneeganz.de schon per Software-Restriction-Policy empfohlen wurden. Unter Packaged App-Execution sind fast ale Apps freigegeben, außer der Windows-Store, die Leuts sollen keine Apps von dort beziehen können.
Jetzt aber muss auf Microsoft 365 umgestellt werden und OneDrive (for Business) und Teams sollen benutzt werden können. Das wurde bisher nicht erlaubt, jetzt aber Wendung um 180°. Ich finde allerdings, dass Microsoft da einen ziemlich krassen Bockmist gebaut hat, weil die Dateien der Applikation von Teams und OneDrive als auch die zugehörigen Update-Dienste als Exe im Benutzerprofil unter Appdata liegen. Um das mal so zu umschreiben, das ist IMHO unter aller Kanone.
Dazu habe ich in Applocker unter EXE und DLL Regeln eine Regel definiert, die ausnahmslos alle von Microsoft signierten Programme erlaubt. Das ist keine Pfadregel, sondern eine Signatur-Regel. Dennoch werden beide Sachen von Applocker weiterhin gesperrt.
Hab ich da was übersehen?
Zusatzfrage: Muss ich demnächst damit rechnen, dass auch Office 365 zusätzliche Berücksichtigung in Applocker erfordert?
Jetzt aber muss auf Microsoft 365 umgestellt werden und OneDrive (for Business) und Teams sollen benutzt werden können. Das wurde bisher nicht erlaubt, jetzt aber Wendung um 180°. Ich finde allerdings, dass Microsoft da einen ziemlich krassen Bockmist gebaut hat, weil die Dateien der Applikation von Teams und OneDrive als auch die zugehörigen Update-Dienste als Exe im Benutzerprofil unter Appdata liegen. Um das mal so zu umschreiben, das ist IMHO unter aller Kanone.
Dazu habe ich in Applocker unter EXE und DLL Regeln eine Regel definiert, die ausnahmslos alle von Microsoft signierten Programme erlaubt. Das ist keine Pfadregel, sondern eine Signatur-Regel. Dennoch werden beide Sachen von Applocker weiterhin gesperrt.
Hab ich da was übersehen?
Zusatzfrage: Muss ich demnächst damit rechnen, dass auch Office 365 zusätzliche Berücksichtigung in Applocker erfordert?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 593268
Url: https://administrator.de/contentid/593268
Ausgedruckt am: 25.11.2024 um 07:11 Uhr
9 Kommentare
Neuester Kommentar
Hi.
Benutze mal das PS-cmdlet test-applockerpolicy
Was spuckt das aus?
Benutze mal das PS-cmdlet test-applockerpolicy
Get-AppLockerPolicy -Local | Test-AppLockerPolicy -Path "$env:appdata\*.exe" -User Everyone
Ich glaube, auf deutsch muss man schreiben
Get-AppLockerPolicy -Local | Test-AppLockerPolicy -Path "$env:appdata\*.exe" -User jeder 
Wenn ich den Pfad mit $env nehme, bekomme ich {1} als Erfebnis zurück. Wenn ich für -Path den Pfad c:\ProgramData\Username\Squirreltemp\*.exe eingebe, an dem die Update.exe von Teams liegt, die da gesperrt wird, bekomme ich "AllowedByDefault" ausgespuckt. Aber genau diese Exe erscheint im Eventlog in den Logs von Applocker. Vom Teams Installer bekomme ich in einem Fenster den Fehler "Installation has faild - Failed to extract installer". Die Update.exe ist aber zuammen mit anderen Dateien in dem Ordner drin. Auch wenn ich diese Update.exe direkt starte, bekomme ich eine Applocker-Meldung und den entsprechenden Eintrag im Eventlog.
Teste das Kommando auch gegen dein Konto, mit dem du die exe ausführst.
Wenn es dann sagt "erlaubt" und du jedoch im Eventlog siehst, dass eben diese .exe geblockt wird, dann spinnt applocker bei Dir und ich würde es mit trivialen Dingen wie Neustart versuchen.
Wenn es dann sagt "erlaubt" und du jedoch im Eventlog siehst, dass eben diese .exe geblockt wird, dann spinnt applocker bei Dir und ich würde es mit trivialen Dingen wie Neustart versuchen.
Bleibt bei AllowedByDefault. Neustarts habe ich schon mehrere gemacht.
Hab auch in der Enterprise-AV.Konsole nachgeschaut, auch da nix.
Hab auch in der Enterprise-AV.Konsole nachgeschaut, auch da nix.
Nimm Dir nun einen leeren Testrechner (VM) und stell das genau so nach und schau, ob es dort läuft, wie erwartet.
Ich brauche da keine Test-VM, denn wie ich mittlerweile sehe, sind andere PCs nicht betroffen, wir haben Teams schonmal ein paar Key-Usern zum Testen und Einrichten von Abteilungsgruppen schonmal gegeben. Momentan sehe ich das nur bei meinem. Aber noch nutzt nicht jeder Teams, es könnten also noch welche dazu kommen.
Wie kann ich Applocker auf dem PC "resetten"?
Wie kann ich Applocker auf dem PC "resetten"?
Manchmal spinnt Applocker - hab ich im laufe der Jahre schon mehrfach gesehen.
Du kannst nur ein weiteres Mal eine Regel ändern (oder eine Test.exe hinzufügen) und dann hoffen, dass nach einem lokalen gpupdate wieder alles läuft, wie es soll.
Wenn das nichts bring, bleibt dir allenfalls die Möglichkeit, in der Registry nachzusehen, was da eingetragen ist unter HKEY_LOCAL_Machine\Software\Policies\Microsoft\Windows\SrpV2
Du kannst nur ein weiteres Mal eine Regel ändern (oder eine Test.exe hinzufügen) und dann hoffen, dass nach einem lokalen gpupdate wieder alles läuft, wie es soll.
Wenn das nichts bring, bleibt dir allenfalls die Möglichkeit, in der Registry nachzusehen, was da eingetragen ist unter HKEY_LOCAL_Machine\Software\Policies\Microsoft\Windows\SrpV2
Das mit der Registry wusste ich noch nicht, interessant, aber die Regeln sind dort drin, so wie sie in der GPO definiert sind.
Ich mache mal eine Quatschregel und danach gpupdate und schau mal...
Ich mache mal eine Quatschregel und danach gpupdate und schau mal...
