122990
20.07.2015, aktualisiert am 25.07.2015
84617
10
4
Windows 10: Apps mit Applocker sperren
Diese Anleitung beschreibt kurz und bündig die nötigen Schritte um Apps unter Windows 10 mit Applocker zu sperren.
Damit unsere in den nächsten Schritten erstellten Richtlinien Anwendung finden müssen wir den Dienst Anwendungsidentität (AppIDSvc) starten und den Startmodus auf Automatisch stellen. Da unter Windows 10 in der Computerverwaltung die Umstellung der Startart des Dienstes verweigert wird, müssen wir uns auf die Konsole begeben.
Dazu starten wir eine CMD-Shell mit Admin-Rechten:
In diese geben wir nun den folgende zwei Befehle nacheinander ein:
(Bitte auf das Leerzeichen nach dem Gleichheitszeichen achten, dies muss dort stehen)
Nun müssen die Regeln der Anwendungen oder Apps welche erlaubt und welche zur Ausführung verweigert werden sollen erstellt werden. Dazu öffnen wir den Gruppenrichtlinien-Editor
Darin navigieren wir in folgenden Zweig:
Als Beispiel erstellen wir eine Regel die den Benutzern auf dem Computer verbietet, den neuen Browser Microsoft Edge auszuführen.
Dazu navigieren wir in den Unterzweig App-Paketregeln. Zu aller erst müssen wir eine Standardregel erzeugen die uns erst einmal Global das Ausführen von Apps erlaubt, um dann im zweiten Schritt eine Verweigerungsregel zu erstellen. Zur Erklärung: Ohne diese Standardregel würde uns später die Ausführung jeglicher Apps verweigert. Zur Info: Verweigerungen haben hier wie bei NTFS-ACLs Vorrang wenn es sich überschneidende Regeln gibt.
Um die Standardregel zu erzeugen genügt es das Kontextmenü auf dem Zweig App-Paketregeln zu öffnen und dann Standardregeln erstellen auszuwählen.
Damit sind nun alle signierten Apps auf dem Rechner ausführbar.
Nun erstellen wir die eigentliche Verweigerungsregel für den neuen Browser Edge. Dazu öffnen wird wieder das Kontextmenü und wählen Neue Regel, und folgen den Einstellungen auf den Bildern:
Die nächsten zwei Seiten kann man noch Ausnahmen definieren und einen Namen für die Regel angeben.
Zum Schluss sollte es dann so aussehen:
Wenn wir nun versuchen den Microsoft Edge Browser zu öffnen wird uns dies mit einer Meldung verweigert
Das ganze lässt sich selbstverständlich auch per GPO auf mehrere Rechner verteilen. Dies macht man dann auf dem Server per Group Policy Managment Console auf ähnliche Art und Weise. Und nicht vergessen den Dienst AppIDSvc ebenfalls per GPO auf den Clients zu aktivieren.
Falls es unerwartet zu Problemen mit der Ausführung von Apps kommen sollte, die Logs findet man in der Ereignisanzeige unter:
Falls Ihr versucht das ganze wieder rückgängig zu machen und auf das Problem stoßt das Windows euch verweigert die Startart des Dienstes appIDSvc zu ändern (auch per Admin-Konsole geht's nicht): Ihr könnt in diesem Fall die Startart des Dienstes über die Registry ändern:
Dort den DWORD-Wert Start auf 3 setzen. Dann steht er wieder auf Manuell.
Nun viel Spaß beim Umsetzen
Gruß grexit
Inhaltsverzeichnis
Schritt 1: Dienst Anwendungsidentität (AppIDSvc) auf automatisch stellen und starten
Damit unsere in den nächsten Schritten erstellten Richtlinien Anwendung finden müssen wir den Dienst Anwendungsidentität (AppIDSvc) starten und den Startmodus auf Automatisch stellen. Da unter Windows 10 in der Computerverwaltung die Umstellung der Startart des Dienstes verweigert wird, müssen wir uns auf die Konsole begeben.Dazu starten wir eine CMD-Shell mit Admin-Rechten:
In diese geben wir nun den folgende zwei Befehle nacheinander ein:
(Bitte auf das Leerzeichen nach dem Gleichheitszeichen achten, dies muss dort stehen)
sc config appidsvc start= auto
sc start appidsvcSchritt 2: Erstellen einer APP-Richtlinie für Applocker
Nun müssen die Regeln der Anwendungen oder Apps welche erlaubt und welche zur Ausführung verweigert werden sollen erstellt werden. Dazu öffnen wir den Gruppenrichtlinien-Editorgpedit.msc
Computerkonfiguration > Windowseinstellungen > Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > Applocker
Erstellen einer Beispiel-Regel zur Verweigerung der Ausführung des neuen Browsers Microsoft Edge
Als Beispiel erstellen wir eine Regel die den Benutzern auf dem Computer verbietet, den neuen Browser Microsoft Edge auszuführen.Dazu navigieren wir in den Unterzweig App-Paketregeln. Zu aller erst müssen wir eine Standardregel erzeugen die uns erst einmal Global das Ausführen von Apps erlaubt, um dann im zweiten Schritt eine Verweigerungsregel zu erstellen. Zur Erklärung: Ohne diese Standardregel würde uns später die Ausführung jeglicher Apps verweigert. Zur Info: Verweigerungen haben hier wie bei NTFS-ACLs Vorrang wenn es sich überschneidende Regeln gibt.
Um die Standardregel zu erzeugen genügt es das Kontextmenü auf dem Zweig App-Paketregeln zu öffnen und dann Standardregeln erstellen auszuwählen.
Damit sind nun alle signierten Apps auf dem Rechner ausführbar.
Nun erstellen wir die eigentliche Verweigerungsregel für den neuen Browser Edge. Dazu öffnen wird wieder das Kontextmenü und wählen Neue Regel, und folgen den Einstellungen auf den Bildern:
Die nächsten zwei Seiten kann man noch Ausnahmen definieren und einen Namen für die Regel angeben.
Zum Schluss sollte es dann so aussehen:
Wenn wir nun versuchen den Microsoft Edge Browser zu öffnen wird uns dies mit einer Meldung verweigert
Das ganze lässt sich selbstverständlich auch per GPO auf mehrere Rechner verteilen. Dies macht man dann auf dem Server per Group Policy Managment Console auf ähnliche Art und Weise. Und nicht vergessen den Dienst AppIDSvc ebenfalls per GPO auf den Clients zu aktivieren.
Anhang
Debugging / Log-Dateien von Applocker
Falls es unerwartet zu Problemen mit der Ausführung von Apps kommen sollte, die Logs findet man in der Ereignisanzeige unter:Ereignisanzeige > Anwendungs- und Dienstprotokolle > Microsoft > Windows > Applocker
Hinweise
Falls Ihr versucht das ganze wieder rückgängig zu machen und auf das Problem stoßt das Windows euch verweigert die Startart des Dienstes appIDSvc zu ändern (auch per Admin-Konsole geht's nicht): Ihr könnt in diesem Fall die Startart des Dienstes über die Registry ändern:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppIDSvc
Nun viel Spaß beim Umsetzen
Gruß grexit
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 277893
Url: https://administrator.de/contentid/277893
Ausgedruckt am: 23.11.2024 um 07:11 Uhr
10 Kommentare
Neuester Kommentar
Hm...moin grexit.
Mit Verlaub, vorm Anleitung schreiben sollte man es selbst beherrschen. Es sind gravierende Schnitzer vorhanden. Gerade erst selbst angeeignet, oder?
Verweigerungen gehen nicht generell vor.
Und die default-Regeln sehen nicht vor, dass dann alles Signierte geht. Und man muss für den Dienst auch nicht mit sc oder regedit rumturnen, nein.
Auch kommt fast alles Wesentliche zu Regelarten zu kurz oder gar nicht.
Das solltest Du überarbeiten.
Mit Verlaub, vorm Anleitung schreiben sollte man es selbst beherrschen. Es sind gravierende Schnitzer vorhanden. Gerade erst selbst angeeignet, oder?
Verweigerungen gehen nicht generell vor.
Und die default-Regeln sehen nicht vor, dass dann alles Signierte geht. Und man muss für den Dienst auch nicht mit sc oder regedit rumturnen, nein.
Auch kommt fast alles Wesentliche zu Regelarten zu kurz oder gar nicht.
Das solltest Du überarbeiten.
Moin,
geht nicht (Access Denied), auch nicht als Administrator (Build 10240). Regedit war ja nur für den Fall das man es lokal ohne GPO macht und die Startart wieder zurückstellen will..
Denn selbst das zurückstellen der Startart via SC auf der Kommandozeile geht ebenfalls in einer elevated Shell nicht, probier's bitte selber mal aus! Mag ja sein das es unter den Vorgänger OS noch funktioniert hat, im aktuellen Win10 Build (Enterprise) eben nicht mehr.
Einfach nochmal genauer durchlesen
Werde bei Zeiten noch Details ergänzen.
Danke für die Rückmeldung.
Gruß grexit
Gerade erst selbst angeeignet, oder?
Nö.Und man muss für den Dienst auch nicht mit sc oder regedit rumturnen, nein.
Schau's dir halt mal unter Windows 10 an und versuch mal den Dienst unter den Diensten via GUI umzustellen geht nicht (Access Denied), auch nicht als Administrator (Build 10240). Regedit war ja nur für den Fall das man es lokal ohne GPO macht und die Startart wieder zurückstellen will..Denn selbst das zurückstellen der Startart via SC auf der Kommandozeile geht ebenfalls in einer elevated Shell nicht, probier's bitte selber mal aus! Mag ja sein das es unter den Vorgänger OS noch funktioniert hat, im aktuellen Win10 Build (Enterprise) eben nicht mehr.
Und die default-Regeln sehen nicht vor, dass dann alles Signierte geht
Zumindest bei den "Apps" schon natürlich nicht bei den normalen Anwendungen, dafür ist ja auch ein anderer Abschnitt in Applocker vorhanden, ich besprach nur den App-Abschnitt nicht die Desktop-Apps!Einfach nochmal genauer durchlesen
Werde bei Zeiten noch Details ergänzen.
Danke für die Rückmeldung.
Gruß grexit
Moin,
Da ich gerade mit Software Restrictions teste würde ich mir das auch ganz gern mal anschauen.
Applocker ist vermutlich immernoch nur in der Enterprise oder Ultimate Version enthalten oder?
VG
Val
Da ich gerade mit Software Restrictions teste würde ich mir das auch ganz gern mal anschauen.
Applocker ist vermutlich immernoch nur in der Enterprise oder Ultimate Version enthalten oder?
VG
Val
Hallo val,
Gruß grexit
Applocker ist vermutlich immernoch nur in der Enterprise oder Ultimate Version enthalten oder?
Regeln erstellen kann man auch in der Pro-Version, jedoch lassen sich die Regeln nur auf den Enterprise Versionen erzwingen, d.h. wirken tun sie nur dort.Gruß grexit
Alles klar danke dir!
Kann man nur hoffen, dass es wie bei Bitlocker läuft und auch komplett in die Pro Version integriert wird.
VG
Val
Regeln erstellen kann man auch in der Pro-Version, jedoch lassen sich die Regeln nur auf den Enterprise Versionen erzwingen, d.h. wirken tun sie nur dort.
Auch wenn mir der Sinn dahinter Regeln zu erstellen, welche nicht funktionieren, noch nicht ganz klar ist...Kann man nur hoffen, dass es wie bei Bitlocker läuft und auch komplett in die Pro Version integriert wird.
VG
Val
Moin.
Der Dienst schaltet sich völlig selbständig korrekt ein, sobald Du etwas enforced.
Die Default-Regeln für apps, nicht für Desktopanwendungen...in der Tat, da war ich ungenau, sorry.
Grüße
DWW
Der Dienst schaltet sich völlig selbständig korrekt ein, sobald Du etwas enforced.
Die Default-Regeln für apps, nicht für Desktopanwendungen...in der Tat, da war ich ungenau, sorry.
Grüße
DWW
Der Dienst schaltet sich völlig selbständig korrekt ein, sobald Du etwas enforced.
Kann ich hier unter Windows 10 Enterprise nicht bestätigen, zumindest wenn man es lokal auf einer Maschine macht (ohne GPO in einer Domäne) wird der Dienst nicht automatisch gestartet und die Startart ändert sich ebenfalls nicht, auch ein Neustart ändert daran ebenfalls nichts. Da Enforcing in den Eigenschaften hab ich natürlich für APPs aktiviert.Gruß grexit
Komisch dass es bei meinen beiden 10240 enterprise geht.
Hast du alles nur lokal gemacht, also die Kisten waren in keiner Domäne ?
Hab hier ebenfalls zwei Versionen eine englische und eine deutsche Enterprise, beide aus den ESDs erzeugt. Beide zeigen das gleiche Verhalten das sie den Dienst nicht automatisch aktivieren wenn ich in den lokalen Gruppenrichtlinien Richtlinien erstelle, auch nach einem Neustart nicht.
Wäre mir auch neu, bisher musste ich den Dienst nämlich immer manuell aktivieren wenn ich Applocker nutzen wollte.
Hab hier ebenfalls zwei Versionen eine englische und eine deutsche Enterprise, beide aus den ESDs erzeugt. Beide zeigen das gleiche Verhalten das sie den Dienst nicht automatisch aktivieren wenn ich in den lokalen Gruppenrichtlinien Richtlinien erstelle, auch nach einem Neustart nicht.
Wäre mir auch neu, bisher musste ich den Dienst nämlich immer manuell aktivieren wenn ich Applocker nutzen wollte.
Die eine mit, die eine ohne Domäne. Aber tröste Dich, auch Applocker hat schon immer gebuggt beim Aktivieren, manchmal bin ich auch perplex fast verzweifelt.
