derwowusste
Goto Top

Applocker auf Win10 oder 11 Home? So geht es!

article-picture
Moin.

Applocker war traditionell den Windowseditionen Enterprise und Education vorbehalten geblieben, nur diese konnten Applocker per GPO aktivieren und managen.

Doch dann sorgte Microsoft mit der neuen Dokumentation https://docs.microsoft.com/en-us/windows/security/threat-protection/wind ... für Verwirrung (zumindest bei mir):

You can use the AppLocker CSP to configure AppLocker policies on any edition of Windows 10 and Windows 11 supported by Mobile Device Management (MDM).

Gut, "wie kommt man an das MDM ran?", ist die nächste Frage. Ich hatte schon geahnt, dass es da eine Möglichkeit für lau gibt, war aber noch nicht darüber gestolpert, bislang, da ich auch kein MDM-Pilot bin.

Eine Microsoft MVP ist so freundlich, das Ganze aufzuklären und hier aufzuzeigen, dass es auch ohne MDM, rein mit Powershell funktioniert. Diese Skripte sollte Ihr Euch gut weglegen, wenn Ihr es mal benötigt: https://github.com/sandytsang/MSIntune/tree/master/Intune-PowerShell/App ...

Vergleicht man das mit dem C't-Projekt "restric'tor" https://www.heise.de/download/product/restrictor welches den Vorgänger von Applocker für alle Editionen bereitstellt, indem es ein Frontend bietet, fällt auf, dass restric'tor zwar weitaus besser aussieht, aber auch entscheidend weniger kann: es kann z.B. nicht den Zugriff auf UWP-("Store")Apps beschränken, was doch eine wichtige Sache ist.

Die verlinkten Skripte sind für .exe-Einschränkungen, nicht für UWP-Apps. Edit: Weiter unten habe ich einen Kommentar mit einem Codebeispiel zum Sperren von Modern Apps (vom MS Store) gegeben.

PS: Der MDM-Ansatz kommt ohne den Dienst "AppIDsvc" (Anwendungsidentität) aus. Somit muss dieser nicht laufen, kann aber auch nicht, um alle Maßnahmen zu deaktivieren, einfach gestoppt werden!

Content-Key: 1647775851

Url: https://administrator.de/contentid/1647775851

Ausgedruckt am: 06.10.2022 um 17:10 Uhr

Mitglied: surreal1
surreal1 22.12.2021 um 23:13:59 Uhr
Goto Top
Danke für diesen sehr interessanten Post. Ich war selber schon ziemlich lange auf der Suche, die vollständige Funktion von Applocker auf Pro Versionen nutzen zu können. Dieser Ansatz geht schon Mal in die richtige Richtung.

Leider ist jedoch der Aufwand groß, da GPOs einem sehr viel administrativen Aufwand ersparen, die Fehleranfälligkeit steigt mit selbstangepasste Scripten.

Ist man jedoch auf so eine Funktion angewiesen, lohnt sich der Aufwand, den man mit bestimmten Methoden einfach umgehen kann um eine Menge Geld für Drittanbieter Lösungen zu sparen und den Overhead gering zu halten.
Mitglied: DerWoWusste
DerWoWusste 23.12.2021 um 07:36:50 Uhr
Goto Top
Kann ich nicht nachvollziehen. Du testest Applockerpolicies eh, somit fallen Fehler auf.
Und deployen lässt sich ein Script per GPO. Der Aufwand ist der gleiche, es ist sogar übersichtlicher als die GUI.
Mitglied: DerWoWusste
DerWoWusste 22.06.2022 aktualisiert um 13:08:14 Uhr
Goto Top
Hier ein Codebeispiel, um bestimmte Apps zu blocken (hier die PhotoApp):
->Dies speichern als c:\applocker\applocker_internal.xml
Als eigentliches Powershell-Skript dann per Systemkonto ausführen:
Resultat: alle möglichern Apps sind freigegeben, nur die Windows Photo App ist gesperrt.

Wie kommt man nun an die Pfade/Namen? Nehmt Euch einen Rechner mit Win10 Enterprise (falls man auch testen möchte, sonst reicht auch Win10 Pro), öffnet die Applockerkonfig unterhalb von secpol.msc und erstellt Regeln nach Eurem Geschmack. Dann findet ihr die Pfade unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2 in der Registry.

PS: die genutzten Klassennamen findet man unter https://docs.microsoft.com/en-us/windows/win32/dmwmibridgeprov/mdm-bridg ... (im Suchfeld "Applocker" eingeben).
die 4 wichtigen sind:
MDM_AppLocker_MSI03
MDM_AppLocker_Script03
MDM_AppLocker_ApplicationLaunchRestrictions01_EXE03
MDM_AppLocker_ApplicationLaunchRestrictions01_StoreApps03