Jump to content

AppLocker greift ohne vorhandene Policies

ogle

Von ogle
in Windows Server Forum

Direkt zur Lösung Gelöst von daabm,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ogle Enthusiast

ogle   0

Geschrieben
Geschrieben (bearbeitet)

Hallo,

hat jemand eine Erklärung dafür, warum nicht mehr vorhandene Policies - da inkl. Gruppenrichtlinien gelöscht - für AppLocker auf einem Windows Server 2012 R2 greifen?

Um das auch zu 100 % ausschließen zu können sind nun alle vorhandenen GPOs deaktiviert. Sobald man jedoch den Service "Anwendungsidentität" startet, dann greifen sofort die Policies die es mal gab. Allein dadurch dass alle vorhandenen GPOs deaktiviert sind dürfte nach meinem Verständnis in der Richtung nichts greifen.

Um die Policies wieder außer Kraft zu setzen hat bis jetzt nur ein deaktivieren des Dienstes und ein anschließender Reboot geholfen.

Gruß

bearbeitet von ogle
ogle Enthusiast

ogle   0

Geschrieben
  • Autor
Geschrieben

Was spuckt denn "gpresult /r" aus?

Dass keine Gruppenrichtlinienobjekte angewendet wurden. Weder für Computer noch für Benutzer und trotzdem greifen nach start des Service "Anwendungsidentität" die ursprünglichen Policies. Sind die Policies vielleicht noch irgendwo in der Registry hinterlegt und wurden beim Löschen der GPOs nicht mitgelöscht?

ogle Enthusiast

ogle   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Der AppLocker läuft über den Dienst "Anwendungsidentität" (AppIDSvc). Beende den Dienst  und setze diesen auf "Deaktiviert". Tritt der Fehler dann noch auf?

Nein, dann greifen keine Policies mehr. Nur wenn der Dienst "Anwendungsidentität" gestartet ist. Ich möchte aber den AppLocker einsetzen, nur eben nicht mit diesen nicht mehr vorhandenen Policies die trotzdem greifen sobald der Dienst "Anwendungsidentität" gestartet ist.

 

PS: Nach beenden des Dienstes muss auch der Server neu gestartet werden ansonsten ist das wirkungslos.

bearbeitet von ogle
MurdocX Veteran

MurdocX   1.004

Geschrieben
Geschrieben

Sind noch Richtlinien unter "C:\Windows\System32\GroupPolicy" vorhanden? Wenn ja, entferne diese und starte den Server neu. Greifen nun noch Richtlinien?


Gerade noch bei MS gelesen es würde auch helfen, wenn man eine leere AppLocker Policy erstellt und diese auf den Computer anwenden lässt. 

ogle Enthusiast

ogle   0

Geschrieben
  • Autor
Geschrieben

Sind noch Richtlinien unter "C:\Windows\System32\GroupPolicy" vorhanden? Wenn ja, entferne diese und starte den Server neu. Greifen nun noch Richtlinien?

Nein, hier gibt es bei mir keine Richtlinien. Die Richtlinien sind bei mir unter "\\server\SYSVOL\domain.local\Policies" da DC. Hier gibt es aber aktuell nur die "Default Domain Policy" und die "Default Domain Controllers Policy" welche aber momentan deaktiviert und nicht verknüpft sind. Daher ist meine Vermutung dass sich der Server die Policies aus der Registry zieht...?

MurdocX Veteran

MurdocX   1.004

Geschrieben
Geschrieben

Deaktiviert weil die Vererbung unterbrochen wurde, oder die Verknüpfung der Beiden komplett entfernt? Letzteres solltest du nicht tun!

 

Probiere es bitte mal mit einer leeren AppLocker Richtlinie. Der AppLocker speichert seine Konfiguration unter "C:\Windows\System32\AppLocker". Es könnte sich lohnen diese testweise zu verschieben. 

ogle Enthusiast

ogle   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Deaktiviert weil die Vererbung unterbrochen wurde, oder die Verknüpfung der Beiden komplett entfernt? Letzteres solltest du nicht tun!

 

Probiere es bitte mal mit einer leeren AppLocker Richtlinie. Der AppLocker speichert seine Konfiguration unter "C:\Windows\System32\AppLocker". Es könnte sich lohnen diese testweise zu verschieben. 

Habe die Option "Verknüpfung aktiviert" an der entsprechenden Stelle für die beiden GPOs abgehakt - testweise - warum sollte man das nicht tun? Was hat das fü Auswirkungen bis auf dass die Richtlinien nicht mehr aktiv sind?

 

Die config files unter "C:\Windows\System32\AppLocker" zu löschen war die Lösung.

 

Vielen Dank MurdocX! :)

bearbeitet von ogle
MurdocX Veteran

MurdocX   1.004

Geschrieben
Geschrieben

Freut mich das es geklappt hat. Wenn du es noch als Lösung markierst, dann können sich andere das noch durchlesen  ;)

 

 

Habe die Option "Verknüpfung aktiviert" an der entsprechenden Stelle für die beiden GPOs abgehakt - testweise - warum sollte man das nicht tun? Was hat das fü Auswirkungen bis auf dass die Richtlinien nicht mehr aktiv sind?

 

Weil damit die Richtlinien für die ganze Umgebung deaktiviert werden incl. des DomainControllers. Zum Testen solltest du nur an einer TestOu die Vererbung unterbrechen. Schau mal was in denen drin steht  ;)

ogle Enthusiast

ogle   0

Geschrieben
  • Autor
Geschrieben

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2

Löschen...

Würde wahrscheinlich auch funktionieren, hat aber bereits mit dem Pfad von MurdocX super funktioniert...

 

Vielen Dank :)

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...