Jump to content

Applocker verhindert trotz Freigabe die Ausführung


Recommended Posts

Moin,

 

ich beschäftige mich seit ein paar Wochen mit Applocker unter Windows 10 bzw. Windows Server 2019/2012 R2. Bisher hatte soweit alles wie vorhergesehen geklappt aber jetzt habe ich schon die zweite Anwendung die sich nicht freigeben lässt, wenn der berechtigte User nicht auf "Everyone" steht.

 

Aktuell befinde ich mich noch in der Testphase und nur eine Handvoll User unterliegt den Restriktionen von Applocker. 

Im AD habe ich für jede Abteilung eine Gruppe angelegt und dort das Computer Konto hinzugefügt. Für jede Anwendung, abgesehen von den Basisprogrammen die jeder braucht, gibt es pro Anwendung eine AD Gruppe in denen die User Konten hinzugefügt werden. Diese Gruppe füge ich bei der Applockerregel als erlauben hinzu. Was anfangs funktionierte, klappt aktuell nicht mehr. 

(Die Computerkonten werden nach dem Ende der Testphase durch "Authenticated Users" ersetzt)

 

Beim Versuch die Anwendung zu starten, kommt der Hinweis, dass diese Anwendung vom Systemadmin gesperrt wurde. Ersetze ich nun in der Applockerregel die Gruppe der berechtigten User durch "Everyone" funktioniert der Zugriff sofort und die Anwendung lässt sich starten.

 

Dabei ist es egal, ob eine Freigabe auf einen ganzen Ordner oder eine explizite *.exe erlaubt wird. Durch die aktuelle Lage, arbeiten fast alle im HomeOffice via VPN.

 

Vielleicht habt ihr ja eine Idee, wo ich einen Knoten im Hirn habe.

 

MfG

Micha

Link to post

Also, wir sind dabei eine Whitelist zu erstellen und alles andere was nicht enthalten ist in der Ausführung zu verhindern.

Aktuell sind nur ausgewählte Computerkonten mit der GPO verknüpft und am Ende fliegen die alle raus und werden durch die Authenticated User ersetzt, damit die GPO auf alle wirkt.

Über die AD Gruppen sollen dann für bestimmte Personen bestimme Anwendungen zugelassen werden. Design, HR, FiBu, ... haben ja alle ihre speziellen Anwendungen.

 

Edit: Wobei ich noch nicht sicher bin, ob das mit den AD Gruppen so bleiben soll. Ich finde den Aufwand sehr hoch, wenn neue Mitarbeiter kommen oder versetzt werden...dann muss ja in jeder AD Gruppe der User eingetragen werden

 

Edited by hercules
Link to post
vor 2 Stunden schrieb hercules:

Also, wir sind dabei eine Whitelist zu erstellen und alles andere was nicht enthalten ist in der Ausführung zu verhindern.

Alles was in %windir%, %programfiles% und %ProgramFiles(x86)% enthalten ist, ist automatisch erlaubt. Denn nur dorthin kann ein Admin etwas installieren. So sind automatisch alle Anwendungen oder ausführbaren Dateien außerhalb nicht erlaubt. Damit kann man schon sehr viel erschlagen.

vor 2 Stunden schrieb hercules:

Über die AD Gruppen sollen dann für bestimmte Personen bestimme Anwendungen zugelassen werden. Design, HR, FiBu, ... haben ja alle ihre speziellen Anwendungen.

D.h. ihr habt in der Softwareverteilung nur 1 Image vorgesehen mit allen Programmen? Falls ja, dann sollte man an dieser Stelle den Prozess überdenken. Oder über NTFS-Berechtigungen nachdenken die dann auf die entsprechenden Programme wirken.

vor 2 Stunden schrieb hercules:

Edit: Wobei ich noch nicht sicher bin, ob das mit den AD Gruppen so bleiben soll. Ich finde den Aufwand sehr hoch, wenn neue Mitarbeiter kommen oder versetzt werden...dann muss ja in jeder AD Gruppe der User eingetragen werden

Wenn das Gruppenberechtigungskonzept sehr durchdacht ist, muss der User nur in wenige Gruppen eingefügt werden, um die entsprechenden Berechtigungen zu bekommen. https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Und daraus das Bild ganz am Ende des Artikels beachten. ;)

Link to post
vor 5 Minuten schrieb Sunny61:

Alles was in %windir%, %programfiles% und %ProgramFiles(x86)% enthalten ist, ist automatisch erlaubt. Denn nur dorthin kann ein Admin etwas installieren. So sind automatisch alle Anwendungen oder ausführbaren Dateien außerhalb nicht erlaubt. Damit kann man schon sehr viel erschlagen.

Ja, dass ist soweit bekannt aber einige Anwendungen laufen ja nicht von Haus aus in diesen Ordnern und die sind ja auch schon alle installiert. Es ist nicht vorgesehen die aktuellen Installationen anzupassen. Über die fertigen Image kann ich persönlich leider nicht viel sagen. Ich weiß nur, dass über den SCCM dann noch fehlende Anwendungen nachinstalliert werden oder der Support sich diesem annimmt.  

Link to post

Du könntest mal prüfen, was auf den Clients so an Applocker-Regeln tatsächlich ankommt.

Dazu erst mal gpresult /h report.html - steht hier alles korrekt drin? Wenn ja, Powershell:

( Get-ApplockerPolicy -effective ).RuleCollections

liefert Dir eine Kollektion aller Regeln.

Link to post
vor 3 Stunden schrieb hercules:

Ja, dass ist soweit bekannt aber einige Anwendungen laufen ja nicht von Haus aus in diesen Ordnern und die sind ja auch schon alle installiert.

Schon klar, das gibt es überall. ;)

Wenn es Programme gibt, wie FiBu oder Personalprogramme, dann sollten die auch nur dort installiert werden, wo sie auch genützt werden dürfen und nicht out of the Box überall. Oder man stellt die Programme den Anwendern über einen RemoteApp Server zur Verfügung, dabei kann man sehr gut über Benutzergruppen filtern.

Link to post

Moin, 

 

ich habe endlich Zeit gefunden es nochmal zu testen...naja es klappt nicht. Mit gpresult auf die Computereinstellungen wird alles richtig angezeigt und mit Powershell ebenfalls. Überall steht, dass es erlaubt ist und ich in den der entsprechenden Gruppe eingetragen wurde, um die Anwendung xy zu starten.

 

Als Beispiel habe ich mir die ConnectShellSetup11.exe für Adobe Connect heruntergeladen und diese in Applocker als Publisher-Freigabe erlaubt.

 

Nebenbei habe ich noch mal Rücksprache gehalten und alle Anwendungen die wir in Applocker freigaben/erlauben werden auch für jeden erlaubt. Der Aufwand für jede einzelne Person zu untersuchen in welche Gruppen dieser müsste, um die entsprechenden Anwendungen freizugeben ist bei 1200 Mitarbeitern zu hoch. Es wird dann nur geguckt, dass Java nur diejenigen erlaubt bekommen, die es wirklich brauchen und bei ein zwei weiteren Anwendungen.

Edited by hercules
Link to post

Irgendwas verschweigst Du - oder weißt es selbst nicht... Ich mache schon seit vielen Jahren mit AppLocker "rum", aber das kenne ich nicht. Hast Du irgendeine übersehene Deny-Regel? Hast Du die AppLocker-RuleCollections genauer geprüft?

Link to post
vor 12 Stunden schrieb NorbertFe:

Warum keine global group? Wär zumindest mal einen Versuch wert.

Das wurde mir so mitgeteilt, dass die Gruppen so erstellt werden sollen :) aber das hatte ich zwischendurch auch schon ohne Erfolg probiert.

 

vor 13 Stunden schrieb daabm:

Irgendwas verschweigst Du - oder weißt es selbst nicht... Ich mache schon seit vielen Jahren mit AppLocker "rum", aber das kenne ich nicht. Hast Du irgendeine übersehene Deny-Regel? Hast Du die AppLocker-RuleCollections genauer geprüft?

Das wäre sogar möglich, da ich noch neu in dem Unternehmen bin und daher evtl. das ein oder andere noch nicht weiß. Deny Regeln sind bisher nur ein paar Exceptions in den Default Regeln aber bisher auch nur auf den %WinDir% Ordner bezogen. Dabei habe ich mich an das hier gehalten bzw. orientiert.

Die AppLocker-RuleCollections zeigt mir ja alle Regeln/Anwendungen an die enthalten sind. Und dort steht auch der Unterschied ob für jeden erlaubt oder nur für eine Gruppe.

 

vor 14 Stunden schrieb Sunny61:

Beschreib doch anhand einer Anwendung genau was Du wann machst, einstellst und verweigerst. Evtl. kann ich das nachstellen.

Ich schrieb ja zuvor, dass ich es nochmal mit der Install von AdobeConnect versuche. Gestern hatte ich eigentlich frei aber ich hatte jetzt alles so wie immer für diese Anwendung eingerichtet. Via Applocker Executable Rules und dann über den Publisher->Product name. Die AD Gruppe als Domainlokale Sicherheitsgruppe und mein Benutzerkonto dort hinzugefügt. In einer Computergruppe meinen Computerkonto hinzugefügt und in der GPO bei Security Filtering hinzugefügt. So wie bei allen anderen zuvor auch. Heute morgen hat es jetzt funktioniert, dass ich den Installer ausführen durfte.

 

ich hatte zwischendurch nichts mehr geändert aber nachdem ich das so gestern eingerichtet hatte, ging es nicht. Ich hatte, um es zu beschleunigen, klist -li 0x3e7 purge eingegeben und dann gpupdate. Davor hatte ich in die AppLocker-RuleCollections geguckt und es stand nicht drinnen. Nach den Befehlen stand es drin aber die Ausführung der Install wurde verhindert. Ich werde das jetzt nochmal mit einer anderen Datei testen, ob es nach einer gewissen Zeit korrekt angewendet wird aber das kann es ja wohl nicht...ich kann die Leute ja nicht so lange vertrösten und die können einen Tag nicht arbeiten!?

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...