Zum Inhalt wechseln


Foto

AppLocker greift ohne vorhandene Policies

Windows Server 2012 R2 GPO

  • Bitte melde dich an um zu Antworten
11 Antworten in diesem Thema

#1 ogle

ogle

    Newbie

  • 43 Beiträge

 

Geschrieben 02. Mai 2017 - 22:52

Hallo,

hat jemand eine Erklärung dafür, warum nicht mehr vorhandene Policies - da inkl. Gruppenrichtlinien gelöscht - für AppLocker auf einem Windows Server 2012 R2 greifen?

Um das auch zu 100 % ausschließen zu können sind nun alle vorhandenen GPOs deaktiviert. Sobald man jedoch den Service "Anwendungsidentität" startet, dann greifen sofort die Policies die es mal gab. Allein dadurch dass alle vorhandenen GPOs deaktiviert sind dürfte nach meinem Verständnis in der Richtung nichts greifen.

Um die Policies wieder außer Kraft zu setzen hat bis jetzt nur ein deaktivieren des Dienstes und ein anschließender Reboot geholfen.

Gruß


Bearbeitet von ogle, 02. Mai 2017 - 22:52.


#2 MurdocX

MurdocX

    Board Veteran

  • 585 Beiträge

 

Geschrieben 03. Mai 2017 - 06:52

Was spuckt denn "gpresult /r" aus?


Mit freundlicher Unterstützung
Jan


#3 ogle

ogle

    Newbie

  • 43 Beiträge

 

Geschrieben 03. Mai 2017 - 10:58

Was spuckt denn "gpresult /r" aus?

Dass keine Gruppenrichtlinienobjekte angewendet wurden. Weder für Computer noch für Benutzer und trotzdem greifen nach start des Service "Anwendungsidentität" die ursprünglichen Policies. Sind die Policies vielleicht noch irgendwo in der Registry hinterlegt und wurden beim Löschen der GPOs nicht mitgelöscht?



#4 MurdocX

MurdocX

    Board Veteran

  • 585 Beiträge

 

Geschrieben 03. Mai 2017 - 11:03

Der AppLocker läuft über den Dienst "Anwendungsidentität" (AppIDSvc). Beende den Dienst  und setze diesen auf "Deaktiviert". Tritt der Fehler dann noch auf?


Mit freundlicher Unterstützung
Jan


#5 ogle

ogle

    Newbie

  • 43 Beiträge

 

Geschrieben 03. Mai 2017 - 11:08

Der AppLocker läuft über den Dienst "Anwendungsidentität" (AppIDSvc). Beende den Dienst  und setze diesen auf "Deaktiviert". Tritt der Fehler dann noch auf?

Nein, dann greifen keine Policies mehr. Nur wenn der Dienst "Anwendungsidentität" gestartet ist. Ich möchte aber den AppLocker einsetzen, nur eben nicht mit diesen nicht mehr vorhandenen Policies die trotzdem greifen sobald der Dienst "Anwendungsidentität" gestartet ist.

 

PS: Nach beenden des Dienstes muss auch der Server neu gestartet werden ansonsten ist das wirkungslos.


Bearbeitet von ogle, 03. Mai 2017 - 11:16.


#6 MurdocX

MurdocX

    Board Veteran

  • 585 Beiträge

 

Geschrieben 03. Mai 2017 - 11:40

Sind noch Richtlinien unter "C:\Windows\System32\GroupPolicy" vorhanden? Wenn ja, entferne diese und starte den Server neu. Greifen nun noch Richtlinien?


Gerade noch bei MS gelesen es würde auch helfen, wenn man eine leere AppLocker Policy erstellt und diese auf den Computer anwenden lässt. 


Mit freundlicher Unterstützung
Jan


#7 ogle

ogle

    Newbie

  • 43 Beiträge

 

Geschrieben 03. Mai 2017 - 11:42

Sind noch Richtlinien unter "C:\Windows\System32\GroupPolicy" vorhanden? Wenn ja, entferne diese und starte den Server neu. Greifen nun noch Richtlinien?

Nein, hier gibt es bei mir keine Richtlinien. Die Richtlinien sind bei mir unter "\\server\SYSVOL\domain.local\Policies" da DC. Hier gibt es aber aktuell nur die "Default Domain Policy" und die "Default Domain Controllers Policy" welche aber momentan deaktiviert und nicht verknüpft sind. Daher ist meine Vermutung dass sich der Server die Policies aus der Registry zieht...?



#8 MurdocX

MurdocX

    Board Veteran

  • 585 Beiträge

 

Geschrieben 03. Mai 2017 - 11:53

Deaktiviert weil die Vererbung unterbrochen wurde, oder die Verknüpfung der Beiden komplett entfernt? Letzteres solltest du nicht tun!

 

Probiere es bitte mal mit einer leeren AppLocker Richtlinie. Der AppLocker speichert seine Konfiguration unter "C:\Windows\System32\AppLocker". Es könnte sich lohnen diese testweise zu verschieben. 


Mit freundlicher Unterstützung
Jan


#9 ogle

ogle

    Newbie

  • 43 Beiträge

 

Geschrieben 03. Mai 2017 - 15:12

Deaktiviert weil die Vererbung unterbrochen wurde, oder die Verknüpfung der Beiden komplett entfernt? Letzteres solltest du nicht tun!

 

Probiere es bitte mal mit einer leeren AppLocker Richtlinie. Der AppLocker speichert seine Konfiguration unter "C:\Windows\System32\AppLocker". Es könnte sich lohnen diese testweise zu verschieben. 

Habe die Option "Verknüpfung aktiviert" an der entsprechenden Stelle für die beiden GPOs abgehakt - testweise - warum sollte man das nicht tun? Was hat das fü Auswirkungen bis auf dass die Richtlinien nicht mehr aktiv sind?

 

Die config files unter "C:\Windows\System32\AppLocker" zu löschen war die Lösung.

 

Vielen Dank MurdocX! :)


Bearbeitet von ogle, 03. Mai 2017 - 15:12.


#10 MurdocX

MurdocX

    Board Veteran

  • 585 Beiträge

 

Geschrieben 03. Mai 2017 - 16:31

Freut mich das es geklappt hat. Wenn du es noch als Lösung markierst, dann können sich andere das noch durchlesen  ;)

 

 

Habe die Option "Verknüpfung aktiviert" an der entsprechenden Stelle für die beiden GPOs abgehakt - testweise - warum sollte man das nicht tun? Was hat das fü Auswirkungen bis auf dass die Richtlinien nicht mehr aktiv sind?

 

Weil damit die Richtlinien für die ganze Umgebung deaktiviert werden incl. des DomainControllers. Zum Testen solltest du nur an einer TestOu die Vererbung unterbrechen. Schau mal was in denen drin steht  ;)


Mit freundlicher Unterstützung
Jan


#11 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 06. Mai 2017 - 11:35   Lösung

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2

Löschen...


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#12 ogle

ogle

    Newbie

  • 43 Beiträge

 

Geschrieben 07. Mai 2017 - 10:09

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2

Löschen...

Würde wahrscheinlich auch funktionieren, hat aber bereits mit dem Pfad von MurdocX super funktioniert...

 

Vielen Dank :)





Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2012 R2, GPO