Jump to content

AppLocker: exe-Files werden trozt Regel in %SystemRoot% ausgeführt

Shemeneto

By Shemeneto
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Shemeneto Rising Star

Shemeneto   11

Posted
Posted

Hallo,

 

ich experimentiere gerade mit der AppLocker GPO herum und verzweifele daran, dass ich bestimmte exe Dateien im %SystemRoot% sperren will (z.B. cmd.exe) es aber nicht funktioniert.

 

DC: Windows Server 2012 R2
Client: Windows 7 Enterprise SP1 32bit
 

Die Regelerzwingung für "Ausführbare Regeln" ist aktiviert und momentan sind nur die Standardregeln für lokale Administratoren und %ProgramFiles% aktiviert. Die Standardregel für %SystemRoot% habe ich gelöscht. Aber auch wenn ich explizit eine Pfadregel (Verweigern, Gruppe: Jeder) zu %SystemRoot%\System32\cmd.exe erstelle, kann ich die cmd.exe immer noch ausführen.

 

Was übersehe ich?

 

Gruß,

Shemeneto

 

daabm Grand Master

daabm   1,436

Posted
Posted

Man müßte jetzt alle Deine Regeln sehen, um zu beurteilen, welche Regel die ausschlaggebende ist.

 

• Gibt es eine passende Verweigern-Regel, kann die Datei nicht ausgeführt werden, auch wenn eine Zulassen-Regel existiert
• Gibt es keine Regel, kann die Datei nicht ausgeführt werden
• Gibt es eine passende Zulassen-Regel, kann die Datei ausgeführt werden

 

PS: Der Dienst "Anwendungsidentität" steht auf automatisch? Sonst wird das nix :cool:

Shemeneto Rising Star

Shemeneto   11

Posted
  • Author
Posted (edited)

Man müßte jetzt alle Deine Regeln sehen, um zu beurteilen, welche Regel die ausschlaggebende ist.

 

• Gibt es eine passende Verweigern-Regel, kann die Datei nicht ausgeführt werden, auch wenn eine Zulassen-Regel existiert

• Gibt es keine Regel, kann die Datei nicht ausgeführt werden

• Gibt es eine passende Zulassen-Regel, kann die Datei ausgeführt werden

 

PS: Der Dienst "Anwendungsidentität" steht auf automatisch? Sonst wird das nix :cool:

 

es gibt ja nur 2 Regeln (wie oben beschrieben...)

Für %SystemRoot% gibt es jedenfalls keine Regel und deshalb dürfte die cmd.exe ja auch nicht ausgeführt werden. Wird sie aber...

Selbst wenn ich für das exe File explizit eine Verweigern-Regeln erstelle wird sie immer noch ausgeführt ?!?

Der Dienst läuft natürlich.

 

edit:

OK, es funktioniert jetzt. Habe allerdings nichts geändert...

 

edit2:

Anscheinend hängen sich die Regeln, einmal aktiviert, fest. Habe jetzt z.B. eine Verweigern Regel wieder gelöscht. Diese ist aber immer noch aktiv. Die betroffene Anwendung lässt sich nicht starten.

Auch nicht nachdem ich alle Applocker GPO´s deaktiviert und den Dienst beendet habe...

Edited by Shemeneto
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Go to topic listing


×
×
  • Create New...