ineedhelp 12 Geschrieben 5. März Melden Teilen Geschrieben 5. März (bearbeitet) @All Für unsere Remotedesktop-Sitzungshosts habe ich zwei AppLocker-Gruppenrichtlinien definiert. In der ersten Richtlinie sind die von Microsoft vorgegebenen Standardrichtlinien mit Ausnahmen konfiguriert und in der zweiten werden die Ausnahmen für bestimmte (domänenlokale) Gruppen wieder erlaubt. In beiden Richtlinien ist AppLocker im Überwachungsmodus geschaltet. Die Warnungshinweise aus dem AppLocker-Ereignisprotokoll sind an einem Sammlungsserver weitergeleitet. Nun zu meinen Fragen: Bei wenigen Benutzern kommt die Meldung, dass die Ausführung von einer Anwerdung verhindert worden wäre, wenn die AppLocker-Regel erzwungen worden wäre. Diesen Benutzern habe ich aber über Gruppenmitgliedschaft erlaubt, die Anwendung auszuführen. Wie kann ich feststellen, warum AppLocker bei diesen Benutzern das Ausführen der Anwendung verhindert hat? Im Standardregelwerk Alle Dateien im Ordner "Windows" für die Gruppe Jeder sind Ausnahmen wie %SYSTEM32%\ATBROKER.EXE, %SYSTEM32%\CMD.EXE, %SYSTEM32%\RUNDLL32.EXE eingetragen. Hierzu gibt es auch ein Paar Einträge in der Ereignisanzeige. Lässt sich feststellen, warum diese Anwendungen gestartet wurde bzw. von welchem Programm diese Anwendungen gestartet wurden? Vielen Dank im Voraus. bearbeitet 5. März von ineedhelp Typo Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 6. März Melden Teilen Geschrieben 6. März Hallo, hast Du berücksichtigt, dass Regeln die verweigern immer gewinnen und Ausnahmen auf Pfade mit einem \* enden müssen? Um herauszufinden wer was gestartet hat, nutze ich procmon (Sysinternals). Da kannst Du die Spalte User einblenden und einen Filter anlegen. Grüße Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 6. März Melden Teilen Geschrieben 6. März Ohne genaue Kenntnis Deiner aktiven Regeln kann das niemand seriös beantworten Zitieren Link zu diesem Kommentar
ineedhelp 12 Geschrieben 7. März Autor Melden Teilen Geschrieben 7. März Vielen Dank. Es gibt nur Zulassen-Regeln. In der Standardregel Alle Dateien im Ordner "Programme" für die Gruppe Jeder habe ich beispielsweise die Herausgeber-Ausnahme Mozilla Thunderbird eingetragen. (Keine Filterung nach Dateiname und -version) In der zweiten Gruppenrichtlinie habe ich Mozilla Thunderbird für eine bestimmte (domänenlokale) Gruppe per Herausgeber- und Pfadregel wieder zugelassen. Das funktioniert soweit ganz gut. Nur kommt bei einigen Gruppenmitgliedern die Meldung, dass AppLocker die Ausführung von Mozilla Thunderbird verhindern würde, wenn es aktiv wäre. Leider fehlt der Hinweis, warum gerade bei diesen Gruppenmitgliedern die Ausführung verhindert wird. Die Reihenfolge der Gruppenrichtlinie habe ich auch so angepasst, dass erst die allgemeine und dann die Gruppenrichtlinie mit den Ausnahmen wieder zulassen, ausgeführt wird. Vielleicht ist das auch unnötig. Kann es sein, das AppLocker die Regeln sowieso zusammenführt. Wenn eine Anwendung versucht ein Programm startet, welches das Starten durch AppLocker verhindern, wird der Benutzer durch die Anzeige Diese App ... gesperrt informiert? Vielen Dank für die Hilfe. Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 7. März Melden Teilen Geschrieben 7. März Hi, wenn ich dich richtig verstehe, ist das so korrekt (Understanding AppLocker allow and deny actions on rules - Windows Security | Microsoft Learn): Zitat ... When AppLocker applies rules, it first checks whether any explicit deny actions are specified in the rule list. If you deny a file from running in a rule collection, the deny action takes precedence over any allow action and can't be overridden. ... Gruß Jan Zitieren Link zu diesem Kommentar
ineedhelp 12 Geschrieben 7. März Autor Melden Teilen Geschrieben 7. März In den Gruppenrichtlinien sind keine Deny Actions Rules definiert. Understanding AppLocker rule behavior Zitat A rule can be configured to use either an allow or deny action: Allow. You can specify which files are allowed to run in your environment and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule. Deny. You can specify which files aren't allowed to run in your environment and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule. Wie ich AppLocker verstehe, werden grundsätzlich alle Programme an der Ausführung gehindert, wenn diese nicht explizit zugelassen wurde. Grundsätzlich funktioniert auch meine Konfiguration. In der Standardrichtrichtlinie habe ich mehrere Ausnahmen definiert, die ich später explizit erlaube. Leider würden bei einigen Benutzern, trotz "richtiger" Gruppenmitgliedschaft, die Ausführung der Anwendung durch AppLocker blockiert. Nun suche ich nach Hinweisen, warum die Anwendung nicht zugelassen wurde. Vielen Dank im Voraus., Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 7. März Melden Teilen Geschrieben 7. März Die User haben sich nach der Aufnahme in die entsprechenden Gruppen auch vom Client ab- und wieder angemeldet? Ich habe mich bei AppLocker an diesem "Konzept" orientiert (UltimateAppLockerByPassList/AppLocker-BlockPolicies at master · api0cradle/UltimateAppLockerByPassList · GitHub). Hier müssen nur zwei anstatt ggfs. drei oder mehr Stellen geprüft werden. Generell sollte das aber wie von dir skizziert funktionieren: Understanding AppLocker rule exceptions - Windows Security | Microsoft Learn 1 Zitieren Link zu diesem Kommentar
ineedhelp 12 Geschrieben 7. März Autor Melden Teilen Geschrieben 7. März Gruppenmitgliedschaften des angemeldeten Benutzers überprüft Dieses Konzept habe ich ähnlich umgesetzt. Statt den Deny Action Rules habe ich die Programme als Ausnahmen für die Gruppe Jeder definiert, da ich die Verweigern-Regeln später für die Administratoren nicht wieder erlauben kann. Wie es in dem Microsoft-Artikel Understanding AppLocker rule exceptions beschrieben wird, habe ich es umgesetzt. Vielen Dank im Voraus. Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 7. März Melden Teilen Geschrieben 7. März Dann sind wir jetzt wohl am Punkt von @daabm angekommen: vor 21 Stunden schrieb daabm: Ohne genaue Kenntnis Deiner aktiven Regeln kann das niemand seriös beantworten Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 7. März Melden Teilen Geschrieben 7. März Und damit wir da jetzt weiterkommen: powershell "$Results=[Collections.Arraylist]::new();$ApplockerPolicies=Get-AppLockerPolicy -Effective;Foreach($ApplockerPolicy in $AppLockerPolicies){Foreach($RuleCollection in $ApplockerPolicy.RuleCollections){Foreach($Rule in $RuleCollection){Try{$UserOrGroup=$Rule.UserOrGroupSid.Translate([System.Security.Principal.NTAccount]).Value}Catch{$UserOrGroup=$Rule.UserOrGroupSid.Value};Switch($Rule.GetType().Name){'FileHashRule'{$RuleValue=$Rule.HashConditions;break};'FilePublisherRule'{$RuleValue=$Rule.PublisherConditions;break};'FilePathRule'{$RuleValue=$Rule.PathConditions;break};Default{$RuleValue='*** Unknown rule type ***'}};$Result = [PSCustomObject]@{Name=$Rule.Name;Description=$Rule.Description;RuleType=$RuleCollection.RuleCollectionType;Account=$UserOrGroup;Type=$Rule.GetType().Name;Action=$Rule.Action;Value=$RuleValue -join ','};[Void]$Results.Add($Result)}}};$Results" Sammelt alle aktiven Applocker-Regeln (allerdings ohne evtl. vorhandene Ausnahmen - dann wäre der Output etwas unübersichtlich geworden). Am 5.3.2024 um 09:33 schrieb ineedhelp: Lässt sich feststellen, warum diese Anwendungen gestartet wurde bzw. von welchem Programm diese Anwendungen gestartet wurden? Nur wenn Du Auditing auf "Process Creation" aktivierst. Viel Spaß beim Auswerten Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 7. März Melden Teilen Geschrieben 7. März Am 6.3.2024 um 16:22 schrieb wznutzer: Hallo, hast Du berücksichtigt, dass Regeln die verweigern immer gewinnen und Ausnahmen auf Pfade mit einem \* enden müssen? Grüße Um auf die Wildcard am Ende zu kommen habe ich Tage gebraucht... Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 7. März Melden Teilen Geschrieben 7. März Ja, das ist auch falsch dokumentiert - zumindest war das mal so. Die Doku behauptet, wenn der Pfad ein Verzeichnis wäre, gilt die Regel für alles in diesem Verzeichnis. Tut sie aber nicht. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 7. März Melden Teilen Geschrieben 7. März (bearbeitet) Genau so hat es citrix dokumentiert und beschrieben. Ich hatte die Regeln nämlich im WEM gebaut. In der englischen Doku gabs dann ein Beispiel mit Sternchen. Das Fehlerbild ist auch dämlich. Der erste Aufruf des Programms funktionierte immer, ab dem zweiten kam die Sperrmeldung. Nach einem reboot ging es von vorne los. bearbeitet 7. März von magheinz Fehlerbildbeschreibung. Zitieren Link zu diesem Kommentar
ineedhelp 12 Geschrieben 11. März Autor Melden Teilen Geschrieben 11. März Am 7.3.2024 um 16:27 schrieb daabm: Und damit wir da jetzt weiterkommen: powershell "$Results=[Collections.Arraylist]::new();$ApplockerPolicies=Get-AppLockerPolicy -Effective;Foreach($ApplockerPolicy in $AppLockerPolicies){Foreach($RuleCollection in $ApplockerPolicy.RuleCollections){Foreach($Rule in $RuleCollection){Try{$UserOrGroup=$Rule.UserOrGroupSid.Translate([System.Security.Principal.NTAccount]).Value}Catch{$UserOrGroup=$Rule.UserOrGroupSid.Value};Switch($Rule.GetType().Name){'FileHashRule'{$RuleValue=$Rule.HashConditions;break};'FilePublisherRule'{$RuleValue=$Rule.PublisherConditions;break};'FilePathRule'{$RuleValue=$Rule.PathConditions;break};Default{$RuleValue='*** Unknown rule type ***'}};$Result = [PSCustomObject]@{Name=$Rule.Name;Description=$Rule.Description;RuleType=$RuleCollection.RuleCollectionType;Account=$UserOrGroup;Type=$Rule.GetType().Name;Action=$Rule.Action;Value=$RuleValue -join ','};[Void]$Results.Add($Result)}}};$Results" Sammelt alle aktiven Applocker-Regeln (allerdings ohne evtl. vorhandene Ausnahmen - dann wäre der Output etwas unübersichtlich geworden). Vielen Dank für den PowerShell-Befehl. Ein Paar Änderungen habe ich vorgenommen. Die Ausnahmen lege ich ebenfalls im PSCustomObject ab und exportiere das ArrayList-Objekt als Csv-Datei. Hier die AppLocker-Standardrichtlinie und hier die Richtlinie, die die Ausnahmen wieder zulässt. In beiden Richtlinien ist die Pfad gleich geschrieben .... Auswertung für den Computer. Die Richtlinie wird angewendet. Der Benutzer ist in der "richtigen" Gruppe. Das Programm würde immer noch nicht ausgeführt werden. Für mich erschließt es sich nicht, warum AppLocker die Ausführung verhindern würde. Einen Hinweis finde ich leider nicht .... Vielen Dank im Voraus. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 11. März Melden Teilen Geschrieben 11. März vor 5 Stunden schrieb ineedhelp: Ein Paar Änderungen habe ich vorgenommen. Kein Thema - wir haben so ein selbstgeschriebenes Remote Management Tool, das die Ausführung einzeiliger (!) ShellExecs erlaubt - und der Return muß in StdOut abgeliefert werden. Die Breite ist beschränkt auf ne Standard-Konsole (80 Zeichen, danach wird abgeschnitten). Das schränkte die Formatierungsmöglichkeiten ziemlich ein Und wir haben zwar AppLocker mit Ausnahmen, aber wir haben keine zusätzlichen Regeln, die diese Ausnahmen zulassen, daher kann ich nicht wirklich helfen. Vielleicht hilft https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/applocker/test-an-applocker-policy-by-using-test-applockerpolicy Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.