Kiosk Modus, Applocker blockiert RDP

[dormi98 15]

Hallo zusammen!

 

Ich versuche gerade folgendes zu realisieren:

Mehrere Windows 10 PCs werden im Kiosk Modus betrieben. Es sollen mehrere Anwendungen (Edge, Firefox, Calculator, Paint und vor allem Remotedesktopverbindung) verfügbar sein - ohne Intune. Das funktioniert mit einem angepassten XML file, welchen in ein Powershell Script gepackt wird sehr gut

Falls das jemand nachlesen möchte: https://sccmentor.com/2019/10/26/windows-10-kiosk-mode-without-intune-notes-from-the-field/

Der Kiosk Modus startet also und zeigt wie gewünscht die Symbole an. Ich kann alle Anwendungen starten und verwenden mit Ausnahme der Remotedesktopverbindung. Hier kommt die Fehlermeldung: 

"This app has been blocked by your system administrator"

Zeitgleich wird im Eventlog ein Applocker Event 8004 "%system32%\mstsc.exe was prevented from running protokolliert. 

 

Ich habe nun schon die lokale Sicherheitsrichtlinie bearbeitet und unter Application Control Policies - Applocker - Executable Rules eine Regel erstellt die %system32%\mstsc.exe für Everyone erlaubt und eine weitere Regel in Applocker - Packaged app Rules angelegt, welche sämtliche publisher, sämtliche package names und Versionen zulässt

 

Die Fehlermeldung im Kiosk Mode bleibt aber bestehen. 

 

Was mache ich falsch?

Wie kann ich Applocker sagen, dass er mstsc.exe auch für meinen Kiosk Benutzer nicht blockieren soll?

Danke für jeden Hinweis

bearbeitet 9. April 2021 von dormi98

[MurdocX 949]

Hallo dormi98,

 

wurden die Standard-Regeln bei den "Executable Rules" eingepflegt? Rechtsklick > "Create Default Rules".

Dort ist die Regel "All files located in the Windows folder" mit dem Pfad "%WINDIR%\*".

[dormi98 15]

Ja da sind 3 Regeln vorhanden. Habe sie zur Sicherheit noch einmal per "create default rules" angelegt. 

 

Zu Testzwecken habe ich jetzt mal über die Registry (über Dienste geht es nicht) den Application Identitiy Dienst deaktiviert. 

"Disabling this service will prevent applocker from being enforced"

Nichts desto trotz wird weiterhin mstsc.exe nach wie vor vom applocker blockiert (Fehlermeldung und Eventlog Eintrag bleiben wie gehabt) 

bearbeitet 9. April 2021 von dormi98

[testperson 1.677]

Hi,

 

ist das evtl. das gleiche Prinzip wie im Artikel mit der "CMD" beschrieben (Windows 10 Kiosk Mode without Intune – Notes from the field – SCCMentor – Paul Winstanley)?

Zitat

Note from the field – AppLocker blocked me from running CMD from anywhere except from the Start Menu tile, which points to the location %APPDATA%\Microsoft\Windows\Start Menu\Programs\System Tools\Command Prompt.lnk. i was attempting to run the shortcut to CMD from another location on the c: drive. Not sure why this happened. Most kiosks wouldn’t want to allow CMD in the first instance but this was something I noted as part of my testing. Be aware.

 

Gruß

Jan

[dormi98 15]

Danke Testperson. 

Das war es zwar nicht ganz,, den ich habe in der xml brav den Remotedesktop Eintrag aus dem Startmenü verwendet. Aber bei der Gelegenheit habe ich das XML File noch einmal kontrolliert und einen Tippfehler gefunden. Genauergesagt habe ich nur C:\Windows\system32\mstsc statt C:\windows\system32\mstsc.exe als Programmpfad eingegeben. 

 

Vielen Dank noch mal mich auf die richtige Spur gebracht zu haben. 

 

Problem gelöst - thread closed