122990
Jul 20, 2015, updated at Jul 25, 2015 (UTC)
84907
10
4
Windows 10: Apps mit Applocker sperren
Diese Anleitung beschreibt kurz und bündig die nötigen Schritte um Apps unter Windows 10 mit Applocker zu sperren.
Dazu starten wir eine CMD-Shell mit Admin-Rechten:
In diese geben wir nun den folgende zwei Befehle nacheinander ein:
(Bitte auf das Leerzeichen nach dem Gleichheitszeichen achten, dies muss dort stehen)
Darin navigieren wir in folgenden Zweig:
Dazu navigieren wir in den Unterzweig App-Paketregeln. Zu aller erst müssen wir eine Standardregel erzeugen die uns erst einmal Global das Ausführen von Apps erlaubt, um dann im zweiten Schritt eine Verweigerungsregel zu erstellen. Zur Erklärung: Ohne diese Standardregel würde uns später die Ausführung jeglicher Apps verweigert. Zur Info: Verweigerungen haben hier wie bei NTFS-ACLs Vorrang wenn es sich überschneidende Regeln gibt.
Um die Standardregel zu erzeugen genügt es das Kontextmenü auf dem Zweig App-Paketregeln zu öffnen und dann Standardregeln erstellen auszuwählen.
Damit sind nun alle signierten Apps auf dem Rechner ausführbar.
Nun erstellen wir die eigentliche Verweigerungsregel für den neuen Browser Edge. Dazu öffnen wird wieder das Kontextmenü und wählen Neue Regel, und folgen den Einstellungen auf den Bildern:
Die nächsten zwei Seiten kann man noch Ausnahmen definieren und einen Namen für die Regel angeben.
Zum Schluss sollte es dann so aussehen:
Wenn wir nun versuchen den Microsoft Edge Browser zu öffnen wird uns dies mit einer Meldung verweigert
Das ganze lässt sich selbstverständlich auch per GPO auf mehrere Rechner verteilen. Dies macht man dann auf dem Server per Group Policy Managment Console auf ähnliche Art und Weise. Und nicht vergessen den Dienst AppIDSvc ebenfalls per GPO auf den Clients zu aktivieren.
Dort den DWORD-Wert Start auf 3 setzen. Dann steht er wieder auf Manuell.
Nun viel Spaß beim Umsetzen
Gruß grexit
Inhaltsverzeichnis
Schritt 1: Dienst Anwendungsidentität (AppIDSvc) auf automatisch stellen und starten
Damit unsere in den nächsten Schritten erstellten Richtlinien Anwendung finden müssen wir den Dienst Anwendungsidentität (AppIDSvc) starten und den Startmodus auf Automatisch stellen. Da unter Windows 10 in der Computerverwaltung die Umstellung der Startart des Dienstes verweigert wird, müssen wir uns auf die Konsole begeben.Dazu starten wir eine CMD-Shell mit Admin-Rechten:
In diese geben wir nun den folgende zwei Befehle nacheinander ein:
(Bitte auf das Leerzeichen nach dem Gleichheitszeichen achten, dies muss dort stehen)
sc config appidsvc start= auto
sc start appidsvc
Schritt 2: Erstellen einer APP-Richtlinie für Applocker
Nun müssen die Regeln der Anwendungen oder Apps welche erlaubt und welche zur Ausführung verweigert werden sollen erstellt werden. Dazu öffnen wir den Gruppenrichtlinien-Editorgpedit.msc
Computerkonfiguration > Windowseinstellungen > Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > Applocker
Erstellen einer Beispiel-Regel zur Verweigerung der Ausführung des neuen Browsers Microsoft Edge
Als Beispiel erstellen wir eine Regel die den Benutzern auf dem Computer verbietet, den neuen Browser Microsoft Edge auszuführen.Dazu navigieren wir in den Unterzweig App-Paketregeln. Zu aller erst müssen wir eine Standardregel erzeugen die uns erst einmal Global das Ausführen von Apps erlaubt, um dann im zweiten Schritt eine Verweigerungsregel zu erstellen. Zur Erklärung: Ohne diese Standardregel würde uns später die Ausführung jeglicher Apps verweigert. Zur Info: Verweigerungen haben hier wie bei NTFS-ACLs Vorrang wenn es sich überschneidende Regeln gibt.
Um die Standardregel zu erzeugen genügt es das Kontextmenü auf dem Zweig App-Paketregeln zu öffnen und dann Standardregeln erstellen auszuwählen.
Damit sind nun alle signierten Apps auf dem Rechner ausführbar.
Nun erstellen wir die eigentliche Verweigerungsregel für den neuen Browser Edge. Dazu öffnen wird wieder das Kontextmenü und wählen Neue Regel, und folgen den Einstellungen auf den Bildern:
Die nächsten zwei Seiten kann man noch Ausnahmen definieren und einen Namen für die Regel angeben.
Zum Schluss sollte es dann so aussehen:
Wenn wir nun versuchen den Microsoft Edge Browser zu öffnen wird uns dies mit einer Meldung verweigert
Das ganze lässt sich selbstverständlich auch per GPO auf mehrere Rechner verteilen. Dies macht man dann auf dem Server per Group Policy Managment Console auf ähnliche Art und Weise. Und nicht vergessen den Dienst AppIDSvc ebenfalls per GPO auf den Clients zu aktivieren.
Anhang
Debugging / Log-Dateien von Applocker
Falls es unerwartet zu Problemen mit der Ausführung von Apps kommen sollte, die Logs findet man in der Ereignisanzeige unter:Ereignisanzeige > Anwendungs- und Dienstprotokolle > Microsoft > Windows > Applocker
Hinweise
Falls Ihr versucht das ganze wieder rückgängig zu machen und auf das Problem stoßt das Windows euch verweigert die Startart des Dienstes appIDSvc zu ändern (auch per Admin-Konsole geht's nicht): Ihr könnt in diesem Fall die Startart des Dienstes über die Registry ändern:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppIDSvc
Nun viel Spaß beim Umsetzen
Gruß grexit
Please also mark the comments that contributed to the solution of the article
Content-ID: 277893
Url: https://administrator.de/contentid/277893
Printed on: December 10, 2024 at 14:12 o'clock
10 Comments
Latest comment
Hm...moin grexit.
Mit Verlaub, vorm Anleitung schreiben sollte man es selbst beherrschen. Es sind gravierende Schnitzer vorhanden. Gerade erst selbst angeeignet, oder?
Verweigerungen gehen nicht generell vor.
Und die default-Regeln sehen nicht vor, dass dann alles Signierte geht. Und man muss für den Dienst auch nicht mit sc oder regedit rumturnen, nein.
Auch kommt fast alles Wesentliche zu Regelarten zu kurz oder gar nicht.
Das solltest Du überarbeiten.
Mit Verlaub, vorm Anleitung schreiben sollte man es selbst beherrschen. Es sind gravierende Schnitzer vorhanden. Gerade erst selbst angeeignet, oder?
Verweigerungen gehen nicht generell vor.
Und die default-Regeln sehen nicht vor, dass dann alles Signierte geht. Und man muss für den Dienst auch nicht mit sc oder regedit rumturnen, nein.
Auch kommt fast alles Wesentliche zu Regelarten zu kurz oder gar nicht.
Das solltest Du überarbeiten.
Moin,
Da ich gerade mit Software Restrictions teste würde ich mir das auch ganz gern mal anschauen.
Applocker ist vermutlich immernoch nur in der Enterprise oder Ultimate Version enthalten oder?
VG
Val
Da ich gerade mit Software Restrictions teste würde ich mir das auch ganz gern mal anschauen.
Applocker ist vermutlich immernoch nur in der Enterprise oder Ultimate Version enthalten oder?
VG
Val
Alles klar danke dir!
Kann man nur hoffen, dass es wie bei Bitlocker läuft und auch komplett in die Pro Version integriert wird.
VG
Val
Regeln erstellen kann man auch in der Pro-Version, jedoch lassen sich die Regeln nur auf den Enterprise Versionen erzwingen, d.h. wirken tun sie nur dort.
Auch wenn mir der Sinn dahinter Regeln zu erstellen, welche nicht funktionieren, noch nicht ganz klar ist...Kann man nur hoffen, dass es wie bei Bitlocker läuft und auch komplett in die Pro Version integriert wird.
VG
Val