Jump to content

Win10 - SoftwareRestrictionPolicies und Applocker nicht gleichzeitig?


Marco31
Direkt zur Lösung Gelöst von cj_berlin,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

wir haben für das Application Whitelisting momentan SRP im Einsatz. Jetzt bin ich auch am testen und konfigurieren von Applocker (im Audit Modus), musste aber folgendes bemerken: Sobald eine Applocker-GPO aktiv ist, werden die SRP-Regeln ignoriert und nix wird geblockt. Sobald ich die Applocker-GPO deaktiviere, funktionieren die SRP wieder... War das schon immer so? Ist das so gewollt? 

Ist halt b***d für den Testzeitraum...?!

 

Ach ja, BS ist Windows 10 21H1

bearbeitet von Marco31
Link zu diesem Kommentar

Dazu müsste ich eine Testmaschine aufbauen auf der sämtliche Anwendungen installiert sind und müsste auch noch testen, ob diese einwandfrei funktionieren... Wir haben hier Anwendungen von denen ich nicht die geringste Ahnung habe weil sie durch ein Rechenzentrum gehostet werden, da habe ich nicht mal Zugriff drauf. Also nein, das ist definitiv keine Lösung!

Und der Audit-Modus von Applocker ist ja gerade dazu da, im Echtbetrieb zu sehen welche Anwendungen geblockt würden (bzw. noch freigegeben werden müssten) wäre Applocker im Nicht-Audit-Mode. 

Also sorry, aber dedizierte Testmaschinen sind für diesen Fall die falsche Herangehensweise.

Link zu diesem Kommentar
Gerade eben schrieb Marco31:

Also sorry, aber dedizierte Testmaschinen sind für diesen Fall die falsche Herangehensweise.

Das siehst du so. Abgesehen davon verstehe ich dein Problem nicht. Wenn du Applocker im Auditmodus hast und die SRP keine Wirkung zeigen (lt. deiner Aussage), dann sollte doch alles im Log stehen, was der Auditmode so macht. Alternativ beschreibe dein Problem doch mal neu. Mit produktiven Maschinen sowas zu testen ist in meinen Augen die falsche Herangehensweise, So sorry ey. ;)

Link zu diesem Kommentar
vor 8 Minuten schrieb NorbertFe:

Warum nicht?

Bzw: vielleicht war meine Antwort missverständlich. Teste auf PCs, auf die die SRP nicht wirken. ;)

 

Ok, hatte ich tatsächlich etwas falsch verstanden. Aber die Frage ist doch, wie schütze ich die PC's, auf denen ich Applocker teste, wenn die SRP-Richtlinien dann deaktiviert sind? Das kann so nicht im Sinne des Erfinders sein...

Link zu diesem Kommentar

was passiert denn auf PCs, auf denen keine SRP waren, bevor du die eingeführt hast? Ich versteh dein Problem grad nur bedingt. ;) Sich damit rauszureden, dass die Whitelistingfunktion nicht geht, wenn man eine andere Whitelistingfunktion einführt ist doch eher unnütz. Denn wie sollte man sonst zu "sinnvollen" Ergebnissen" kommen können?

Link zu diesem Kommentar

Ok, ich glaub wir reden tatsächlich aneinander vorbei. Ich versuch's noch mal besser zu erklären. Wir haben größtenteils noch Windows10 Pro-Maschinen, haben aber (unter anderem auch wegen zukünftigem Einsatz von Applocker) auch schon einige Maschinen mit Windows10 Enterprise lizensiert. Die SRP haben wir schon lange im Einsatz, hat auch immer bestens funktioniert. Soweit so gut. Wenn ich aber jetzt eine Applocker-GPO im Audit-Mode (zum erstellen der notwendigen Freigabe-Regeln) zusätzlich aktiviere, beachten meine Enterprise-Maschinen nur noch die Applocker-Regeln im Audit Mode (nix wird geblockt) und die SRP-Regeln werden völlig ignoriert; es kann also (von nötigen Admin-Rechten abgesehen) beliebige Software ausgeführt werden. 

Ich bin eigentlich der Meinung dass die Koexistenz mal funktioniert hat und das ganze so eher neu ist, aber so 100%ig sicher bin ich mir da auch nicht.

 

Ist halt die Frage ob das so gewollt ist oder ob's ein Bug ist.

Link zu diesem Kommentar
  • Beste Lösung

OK, das wird jetzt langsam wirklich spannend. @Marco31 welches Verhalten hast Du dir den erhofft? Es gäbe ja in meinen Augen fünf Varianten:

  1. Wenn SRP aktiv ist, wirkt AppLocker nicht --> hast nichts gewonnen, oder?
  2. Wenn AppLocker aktiv ist, wirkt SRP nicht --> das ist das, was MSFT sich gedacht hat, passt Dir offenbar nicht
  3. Wenn beide aktiv sind, greift SRP zuerst --> AppLocker im Audit Mode würde nichts loggen, was verboten werden sollte, denn das würde ja schon von SRP weggeblockt werden
  4. Wenn beide aktiv sind, greift AppLocker zuerst --> vermutlich Dein Favorit
  5. Wenn beide aktiv sind, greift einer der Mechanismen, der andere kriegt den Ausführungsversuch aber auch dann mit, wenn er vom ersten geblockt wurde.

Ansonsten: Um Überraschungen zu vermeiden, RTFM: hier steht schwarz auf weiß:

 

"Verwenden von AppLocker- und Softwareeinschränkungsrichtlinien in derselben Domäne
AppLocker wird auf Systemen unterstützt, die Windows 7 und höher ausgeführt werden. Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) werden auf Systemen unterstützt, die Windows Vista oder früher ausgeführt werden. Sie können weiterhin SRP für die Anwendungssteuerung auf Ihren Computern vor Windows 7 verwenden, aber AppLocker für Computer verwenden, auf denen Windows Server 2008 R2 Windows 7 und höher ausgeführt wird. Es wird empfohlen, AppLocker- und SRP-Regeln in separaten GPOs zu erstellen und das Gruppenrichtlinienobjekt mit SRP-Richtlinien auf Systeme zu adressieren, die Windows Vista oder früher ausgeführt werden. Wenn sowohl SRP- als auch AppLocker-Richtlinien auf Computer angewendet werden, auf denen Windows Server 2008 R2 Windows 7 und höher ausgeführt wird, werden die SRP-Richtlinien ignoriert."

 

 

Link zu diesem Kommentar
vor 18 Stunden schrieb cj_berlin:

"Verwenden von AppLocker- und Softwareeinschränkungsrichtlinien in derselben Domäne
AppLocker wird auf Systemen unterstützt, die Windows 7 und höher ausgeführt werden. Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) werden auf Systemen unterstützt, die Windows Vista oder früher ausgeführt werden. Sie können weiterhin SRP für die Anwendungssteuerung auf Ihren Computern vor Windows 7 verwenden, aber AppLocker für Computer verwenden, auf denen Windows Server 2008 R2 Windows 7 und höher ausgeführt wird. Es wird empfohlen, AppLocker- und SRP-Regeln in separaten GPOs zu erstellen und das Gruppenrichtlinienobjekt mit SRP-Richtlinien auf Systeme zu adressieren, die Windows Vista oder früher ausgeführt werden. Wenn sowohl SRP- als auch AppLocker-Richtlinien auf Computer angewendet werden, auf denen Windows Server 2008 R2 Windows 7 und höher ausgeführt wird, werden die SRP-Richtlinien ignoriert."

 

Ok, der Absatz erklärt es. Hatte ich so nicht am Schirm, danke für die Info! Ist zwar so gesehen b***d wenn Applocker erstmal nur im Audit Mode läuft, aber ist halt so. 

Danke an alle für die Hilfe.

Link zu diesem Kommentar
vor 2 Stunden schrieb NorbertFe:

wenn SRP laufen WÜRDE im Auditmode würdest du im AuditMode ja nie was sehen.

Wo du recht hast... :-)

 

Ich sehe das Problem nicht so recht. Applocker protokolliert ja recht gut, also Testmaschine ohne SRP und mit aktivem AppLocker (nicht nur im Audit-Mode), und dann halt zügig auf Benutzerrückmeldungen und Eventlog-Einträge reagieren. Sollte machbar sein, oder? Und die Basic-Regeln aus SRP vorab nach AppLocker zu überführen sollte auch machbar sein.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...