Jump to content

Win10 - SoftwareRestrictionPolicies und Applocker nicht gleichzeitig?


Go to solution Solved by cj_berlin,

Recommended Posts

Hallo Leute,

 

wir haben für das Application Whitelisting momentan SRP im Einsatz. Jetzt bin ich auch am testen und konfigurieren von Applocker (im Audit Modus), musste aber folgendes bemerken: Sobald eine Applocker-GPO aktiv ist, werden die SRP-Regeln ignoriert und nix wird geblockt. Sobald ich die Applocker-GPO deaktiviere, funktionieren die SRP wieder... War das schon immer so? Ist das so gewollt? 

Ist halt b***d für den Testzeitraum...?!

 

Ach ja, BS ist Windows 10 21H1

Edited by Marco31
Link to post
vor 10 Minuten schrieb Marco31:

Da sehe ich aber nicht was für Applocker freigegeben werden muss,

Warum nicht?

Bzw: vielleicht war meine Antwort missverständlich. Teste auf PCs, auf die die SRP nicht wirken. ;)

Edited by NorbertFe
Link to post

Dazu müsste ich eine Testmaschine aufbauen auf der sämtliche Anwendungen installiert sind und müsste auch noch testen, ob diese einwandfrei funktionieren... Wir haben hier Anwendungen von denen ich nicht die geringste Ahnung habe weil sie durch ein Rechenzentrum gehostet werden, da habe ich nicht mal Zugriff drauf. Also nein, das ist definitiv keine Lösung!

Und der Audit-Modus von Applocker ist ja gerade dazu da, im Echtbetrieb zu sehen welche Anwendungen geblockt würden (bzw. noch freigegeben werden müssten) wäre Applocker im Nicht-Audit-Mode. 

Also sorry, aber dedizierte Testmaschinen sind für diesen Fall die falsche Herangehensweise.

Link to post
Gerade eben schrieb Marco31:

Also sorry, aber dedizierte Testmaschinen sind für diesen Fall die falsche Herangehensweise.

Das siehst du so. Abgesehen davon verstehe ich dein Problem nicht. Wenn du Applocker im Auditmodus hast und die SRP keine Wirkung zeigen (lt. deiner Aussage), dann sollte doch alles im Log stehen, was der Auditmode so macht. Alternativ beschreibe dein Problem doch mal neu. Mit produktiven Maschinen sowas zu testen ist in meinen Augen die falsche Herangehensweise, So sorry ey. ;)

Link to post
vor 8 Minuten schrieb NorbertFe:

Warum nicht?

Bzw: vielleicht war meine Antwort missverständlich. Teste auf PCs, auf die die SRP nicht wirken. ;)

 

Ok, hatte ich tatsächlich etwas falsch verstanden. Aber die Frage ist doch, wie schütze ich die PC's, auf denen ich Applocker teste, wenn die SRP-Richtlinien dann deaktiviert sind? Das kann so nicht im Sinne des Erfinders sein...

Link to post
vor 1 Minute schrieb Marco31:

Aber die Frage ist doch, wie schütze ich die PC's, auf denen ich Applocker teste, wenn die SRP-Richtlinien dann deaktiviert sind? Das kann so nicht im Sinne des Erfinders sein...

Was genau passiert denn während deiner Tests mit diesen PCs? 

Link to post

was passiert denn auf PCs, auf denen keine SRP waren, bevor du die eingeführt hast? Ich versteh dein Problem grad nur bedingt. ;) Sich damit rauszureden, dass die Whitelistingfunktion nicht geht, wenn man eine andere Whitelistingfunktion einführt ist doch eher unnütz. Denn wie sollte man sonst zu "sinnvollen" Ergebnissen" kommen können?

Link to post

Ok, ich glaub wir reden tatsächlich aneinander vorbei. Ich versuch's noch mal besser zu erklären. Wir haben größtenteils noch Windows10 Pro-Maschinen, haben aber (unter anderem auch wegen zukünftigem Einsatz von Applocker) auch schon einige Maschinen mit Windows10 Enterprise lizensiert. Die SRP haben wir schon lange im Einsatz, hat auch immer bestens funktioniert. Soweit so gut. Wenn ich aber jetzt eine Applocker-GPO im Audit-Mode (zum erstellen der notwendigen Freigabe-Regeln) zusätzlich aktiviere, beachten meine Enterprise-Maschinen nur noch die Applocker-Regeln im Audit Mode (nix wird geblockt) und die SRP-Regeln werden völlig ignoriert; es kann also (von nötigen Admin-Rechten abgesehen) beliebige Software ausgeführt werden. 

Ich bin eigentlich der Meinung dass die Koexistenz mal funktioniert hat und das ganze so eher neu ist, aber so 100%ig sicher bin ich mir da auch nicht.

 

Ist halt die Frage ob das so gewollt ist oder ob's ein Bug ist.

Link to post
  • Solution

OK, das wird jetzt langsam wirklich spannend. @Marco31 welches Verhalten hast Du dir den erhofft? Es gäbe ja in meinen Augen fünf Varianten:

  1. Wenn SRP aktiv ist, wirkt AppLocker nicht --> hast nichts gewonnen, oder?
  2. Wenn AppLocker aktiv ist, wirkt SRP nicht --> das ist das, was MSFT sich gedacht hat, passt Dir offenbar nicht
  3. Wenn beide aktiv sind, greift SRP zuerst --> AppLocker im Audit Mode würde nichts loggen, was verboten werden sollte, denn das würde ja schon von SRP weggeblockt werden
  4. Wenn beide aktiv sind, greift AppLocker zuerst --> vermutlich Dein Favorit
  5. Wenn beide aktiv sind, greift einer der Mechanismen, der andere kriegt den Ausführungsversuch aber auch dann mit, wenn er vom ersten geblockt wurde.

Ansonsten: Um Überraschungen zu vermeiden, RTFM: hier steht schwarz auf weiß:

 

"Verwenden von AppLocker- und Softwareeinschränkungsrichtlinien in derselben Domäne
AppLocker wird auf Systemen unterstützt, die Windows 7 und höher ausgeführt werden. Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) werden auf Systemen unterstützt, die Windows Vista oder früher ausgeführt werden. Sie können weiterhin SRP für die Anwendungssteuerung auf Ihren Computern vor Windows 7 verwenden, aber AppLocker für Computer verwenden, auf denen Windows Server 2008 R2 Windows 7 und höher ausgeführt wird. Es wird empfohlen, AppLocker- und SRP-Regeln in separaten GPOs zu erstellen und das Gruppenrichtlinienobjekt mit SRP-Richtlinien auf Systeme zu adressieren, die Windows Vista oder früher ausgeführt werden. Wenn sowohl SRP- als auch AppLocker-Richtlinien auf Computer angewendet werden, auf denen Windows Server 2008 R2 Windows 7 und höher ausgeführt wird, werden die SRP-Richtlinien ignoriert."

 

 

  • Thanks 1
Link to post
vor 18 Stunden schrieb cj_berlin:

"Verwenden von AppLocker- und Softwareeinschränkungsrichtlinien in derselben Domäne
AppLocker wird auf Systemen unterstützt, die Windows 7 und höher ausgeführt werden. Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) werden auf Systemen unterstützt, die Windows Vista oder früher ausgeführt werden. Sie können weiterhin SRP für die Anwendungssteuerung auf Ihren Computern vor Windows 7 verwenden, aber AppLocker für Computer verwenden, auf denen Windows Server 2008 R2 Windows 7 und höher ausgeführt wird. Es wird empfohlen, AppLocker- und SRP-Regeln in separaten GPOs zu erstellen und das Gruppenrichtlinienobjekt mit SRP-Richtlinien auf Systeme zu adressieren, die Windows Vista oder früher ausgeführt werden. Wenn sowohl SRP- als auch AppLocker-Richtlinien auf Computer angewendet werden, auf denen Windows Server 2008 R2 Windows 7 und höher ausgeführt wird, werden die SRP-Richtlinien ignoriert."

 

Ok, der Absatz erklärt es. Hatte ich so nicht am Schirm, danke für die Info! Ist zwar so gesehen b***d wenn Applocker erstmal nur im Audit Mode läuft, aber ist halt so. 

Danke an alle für die Hilfe.

Link to post
vor 16 Minuten schrieb Marco31:

Ist zwar so gesehen b***d wenn Applocker erstmal nur im Audit Mode läuft, aber ist halt so. 

Nein is nicht b***d. Denn wenn SRP laufen WÜRDE im Auditmode würdest du im AuditMode ja nie was sehen. ;)

Link to post
vor 2 Stunden schrieb NorbertFe:

wenn SRP laufen WÜRDE im Auditmode würdest du im AuditMode ja nie was sehen.

Wo du recht hast... :-)

 

Ich sehe das Problem nicht so recht. Applocker protokolliert ja recht gut, also Testmaschine ohne SRP und mit aktivem AppLocker (nicht nur im Audit-Mode), und dann halt zügig auf Benutzerrückmeldungen und Eventlog-Einträge reagieren. Sollte machbar sein, oder? Und die Basic-Regeln aus SRP vorab nach AppLocker zu überführen sollte auch machbar sein.

  • Haha 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...