c0nvert
Goto Top

Applocker Block IE und Edge

Hey,
Ich weiß einfach nicht wie ich per Applock den IE und Edge Browser blocken soll.
Ich habe einen Testserver und Clienten eingerichtet.
Per Applock (GPO) den IE Browser gesperrt und über die GPO noch den Dienst für den Applock gestartet.

Wenn ich das CMDAplet zum testen der AppLock Rules starte gibt er mir das als Ergenis aus:

#TYPE Microsoft.Security.ApplicationId.PolicyManagement.AppLockerPolicyDecision
"FilePath","PolicyDecision","MatchingRule"  
"C:\Program Files\internet explorer\iexplore.exe","Denied","IEXPLORE.EXE, Version 11.0.0.0 und h?her, aus INTERNET EXPLORER, von O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US"  

Also scheint er ja die Policy zu übernehmen.
Selbst nachdem ich den Applocker enforce kann ich den IE immernoch starten.
Was mache ich falsch?

Bei der GPO habe ich eine Sicherheitsgruppe mit allen Usern eingetragen bei denen IE geblockt werden soll.
Authetifizierte User habe rausgenommen und Leseberechtigungen dem Domänen- Computer gegeben.

Das selbe soll dann auch für den Edge Browser eingestellt werden.


applocker


applocker 2


Bin für jeden Tipp dankbar

Content-Key: 427788

Url: https://administrator.de/contentid/427788

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: UnbekannterNR1
UnbekannterNR1 13.03.2019 um 16:17:16 Uhr
Goto Top
Versuch mal in der Standardregeln eine Ausnahme für den Ordner vom IE zu setzen.
Mitglied: DerWoWusste
DerWoWusste 13.03.2019 um 16:35:19 Uhr
Goto Top
Hi.

Manchmal braucht es einen weiteren Neustart, bevor es funktioniert - ist leider so.
Edge blockierst Du über die (hier englisch) "packaged app rules".
Mitglied: Spirit-of-Eli
Spirit-of-Eli 13.03.2019 um 17:58:02 Uhr
Goto Top
Kurz noch eines was nicht erwähnt wurde. Applocker funktioniert nur mit einer Enterprise Lizenz.
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 09:27:48 Uhr
Goto Top
@UnbekannterNR1
UnbekannterNR1
Wie meinst du das ?
Kannst du das genauer erläutern? ))

@DerWoWusste
So hab den Clienten neugestartet, kann immer noch auif den IE zugreifen face-sad
Hab unter packaged apps (Edge Brwoser) nix gefunden, setzte mich aber heut nochmal dran, villt habe ich was übersehen )
Danke für die hilfe

@Spirit-of-Eli
War das nicht so das man die Enterprise Version für Windows 7 gebraucht hat, aber mit Windows 10 das ganze auch unter einem Win10 Pro Clienten funktioniert.
Nochmal um es klar zu stellen, wir reden über den Clienten auf dem es ausgeführt werden soll? face-smile
applock

Also sollte es mit Windows 10 und Pro funktionieren, wie ich das dem Bild entnehmen kann?
Mitglied: DerWoWusste
DerWoWusste 14.03.2019 um 09:27:15 Uhr
Goto Top
Nein, es funktioniert ohne Weiteres nicht mit Win10 Pro. Dein Screenshot ist aus dem Kontext gerissen. Es würde mit Pro gehen, wenn Du MDM benutzt.
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 09:31:23 Uhr
Goto Top
MDM benutze ich nicht, also muss auf dem Clienten Enterprise installiert sein, verstehe ich das richtig?
Sind ansonsten die Regeln und Einstellungen richtig, soweit ihr das natürlich beurteilen könnt ))

Ich würde dann mit einer Enterprise Version alles testen und feedback geben
Mitglied: DerWoWusste
DerWoWusste 14.03.2019 um 09:35:33 Uhr
Goto Top
Ja, deine Regeln sind richtig, aber testen musst Du eh.
Enterprise wird auf den Clients benötigt, ja.
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 10:02:14 Uhr
Goto Top
Hab jetzt mal unter packaged apps nachgeguckt, bei mir ist die Liste leer.
Der Server ist ein Windows Server 2012 r2

hast du ne Idee wieso die liste komplett leer ist?
Ich denke mal weil Edge nicht aufm Server installiert ist face-smile
Die frage ist aber dann wie blocke ich den Edge Browser ?

package list empty
Mitglied: DerWoWusste
DerWoWusste 14.03.2019 aktualisiert um 10:09:46 Uhr
Goto Top
Benutze RSAT um die Policy zu erstellen.
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 10:38:44 Uhr
Goto Top
Wenn ich über RSAT auf die liste zugreifen will, bekomme ich diesen Fehler

snapin error

Wenn ich Snapin beenden und mmc weiterhin ausführen bestätige kommt:

snapin error 2

Hab im Moment das RSAT 1803 installiert und bin immer noch auf der Pro Lizenz
Ob das daran liegt?

Edit hängt wohl mit .Net 4.7 zusammen
Ich versuche den Workauround ausm Netz und berichte dann ))
Mitglied: DerWoWusste
DerWoWusste 14.03.2019 um 11:05:51 Uhr
Goto Top
Workaround würde mich interessieren - Ich habe den selben Fehler. Selbst ohne RSAT (lokales secpol.msc auf Win10 Enterprise 1803).
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 11:19:38 Uhr
Goto Top
@DerWoWusste
Workaround klappt mit 1803 nicht, grad getestet
SnapIn Error [Social Technet Microsoft]
Gibts ne alternative Idee oder Möglichkeit?
Update auf 1809 evtl?
Kann jmd mit 1809 bestätigen ob der Fehler noch auftritt?

Ansonsten würde mir einfallen, eine Virtuelle Machine mit ner älteren Win 10 version aufzusetzten, die Applocker Policies dort konfigurieren, via XML exportieren und in der 1803 zu importieren, soll laut dem Forum oben funktionieren.
Da wäre ja schon ein Update auf 1809 praktischer :D

Ja hatte das auch mit secpol.msc hab mich gewundert, aber scheint ja normal für MS zu sein...
Mitglied: Spirit-of-Eli
Spirit-of-Eli 14.03.2019 um 11:38:51 Uhr
Goto Top
Nochmal. Ohne Enterprise Lizenz lässt sich das ganze zwar für den Client konfigurieren. Aber eben nicht anwenden.
Ansonsten wie oben schon gesagt wurde.
Mitglied: DerWoWusste
DerWoWusste 14.03.2019 um 11:43:18 Uhr
Goto Top
Spirit-of-Eli, er will es mit Enterprise testen. Jedoch kann er keine Policies für packagedApps erstellen. Geht das bei Dir, hast Du 1809 Enterprise zum Test zur Hand?
Mitglied: Spirit-of-Eli
Spirit-of-Eli 14.03.2019 um 12:32:58 Uhr
Goto Top
Zitat von @DerWoWusste:

Spirit-of-Eli, er will es mit Enterprise testen. Jedoch kann er keine Policies für packagedApps erstellen. Geht das bei Dir, hast Du 1809 Enterprise zum Test zur Hand?

Okay, dann habe ich das wohl über lesen.

Mit 1809 müsste ich mir erst eine Umgebung bauen. Vielleicht komme ich da später zu.
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 15:33:33 Uhr
Goto Top
Hab jetzt versucht eine Testumgebung Win 2012 r2 + Win 10 1809 unter Hyper -V zum laufen zubringen
Habe einen Internen Switch erstellt, bei der VM diesen ausgewählt.
Über dienste am Physischen Host Routing und Ras aktiviert.
Bei der Physischen Netzwerkkarte über Freigabe den erstellen internen VSwitch ausgewählt.

Dieser hat Standartmäßig die IP Adresse 192.168.137.1 bekommen.
Soweit alles richtig, sobald ich aber den virtuellen Server starte habe ich begrenztes Internet, ergo kein Internet.
Ich kann nicht Google's 8.8.8.8 anpigen.

Wisst ihr wie ich das zum laufen bekomme?
Ich wollte halt einen virtuellen Server und Clienten mit 1809 aufsetzten um zu testen ob sich mein Problem mit 1809 löst.

Wieso meine Internetverbindug nicht geshart wird ..keine Ahnung.
Einstellungen habe ich nach dieser Anleitung vorgenommen
vSwitch Intern w Internet
Mitglied: C0nvert
C0nvert 14.03.2019 um 16:00:41 Uhr
Goto Top
@DerWoWusste
So hab den Clienten jetzt auf Enterprise gebracht, kann immer noch auf den IE zugreifen.
Irgendwas läuft nicht so wie es soll.

Die GPO Regel soll ja per User angewendet werden, villt etwas falsch in der Delegation oder dem Sicherheitsfilter?
Mitglied: UnbekannterNR1
UnbekannterNR1 14.03.2019 um 16:52:42 Uhr
Goto Top
Gut dann jetzt wieder mein Kommentar face-smile

Du hast ja die Standardregel angelegt, die Besagt das Jeder alles in Programme (oder %Windir%) ausführen darf.
Wenn Du dir die Regel nochmal öffnest findest du einen Reiter Ausnahmen, dort einfach mal das IE Verzeichnis angeben das sollte dann verhindern das IE gestartet wird. Mit allen ggf. nicht so guten Konsequenzen.
Mitglied: C0nvert
C0nvert 14.03.2019 um 17:21:32 Uhr
Goto Top
Hat auch nicht funktioniert.
hm...
Mitglied: DerWoWusste
DerWoWusste 14.03.2019 um 17:55:18 Uhr
Goto Top
Du erstellst Deine Regeln jetzt mal bitte lokal in secpol.msc, bis es funktioniert. Wenn Du nicht weißt, wie man diagnostiziert, ob eine GPO angewendet wird, oder nicht, dann solltest Du mit dem Befehl
gpresult /h Ausgabedatei.html
weiter kommen.
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 19:48:35 Uhr
Goto Top
Hab die Regel noch nicht lokal erstellt , sondern erst mal gpresult nach dem Anwender gefiltert auf den es angewendet werden soll.
Das kam raus:
AppLocker Settings [{584068F9-EDFE-4814-9B62-987D4DD70745}]
Verknüpfungsort - <domäne>.local
Konfigurierte Erweiterungen - Security Registrierung
Erzwungen - Nein
Deaktiviert - Keine
Sicherheitsfilter <Domäne>\Applocker
Revision AD (20), SYSVOL (65535)
WMI-Filter
 
Grund: abgelehnt - Zugriff verweigert (Sicherheitsfilterung)

Edit
Dachte ich hätte das Problem dadurch gelöst, dass ich
beim Domänen-Computer zusätzlich zum Lese-Haken noch den "Gruppenrechtlinien übernehmen" Haken gesetzt habe.
Tja zu früh gefreut.

Habe mir in meinem Admin Account den Zugriff auf fast alles gesperrt.
Konnte nicht mal die Systemsteuerung oder das Windows Startmenü aufrufen.
Nachdem ich den Haken bei Domänen Computer wieder entfernt und die GPO angewandt habe, ging das Startmenü wieder, aber die Policy (Applocker) wurde natürlich wieder nicht angewandt

Also das hat auf jedenfall was mit rechten zu tun, bloß weiß ich nicht wo bei der Delegation der Fehler ist.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 14.03.2019 aktualisiert um 20:00:18 Uhr
Goto Top
Edit
Dachte ich hätte das Problem dadurch gelöst, dass ich
beim Domänen-Computer zusätzlich zum Lese-Haken noch den "Gruppenrechtlinien übernehmen" Haken gesetzt habe.
Tja zu früh gefreut.

Trag zusätzlich Authentifizierte Benutzer mit GPO lesen Rechten ein. (hier nicht anwenden!)
Das geht nur noch so. Du musst beide Sicherheitsgruppen eintragen.
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 20:17:53 Uhr
Goto Top
Okay es hat geklappt
Hab jetzt Domänen Computer -> Lesen
Authentifizierte Benutzer -> Lesen, Gruppenrechtlinien, Übernehemen

Kannst du mir villt mal erklären wieso man in diesem Fall Authentifizierte Benutzer drin haben muss?
Ich dachte wenn man eine GPO nur auf eine Gruppe Anwenden will, müssen die Authentifizierte Benutzer raus?

Des Weiteren frage ich mich , wieso die GPO nicht auf alle Anwender (wegen Authentifizierte Benutzer) ausgeweitet wird?
Mitglied: DerWoWusste
DerWoWusste 14.03.2019 um 20:22:02 Uhr
Goto Top
Applocker ist im Computerkonfig-Abteil der GPO. Das kann gar nicht auf User gebunden wirken. Man muss es auf OUs mit Computern verlinken und kann allenfalls Computer ausschließen, nicht User. Damit es auf bestimmte User wirkt und auf andere nicht, kann man doch in den Einstellungen unter Applocker selbst erreichen.
Mitglied: DerWoWusste
DerWoWusste 14.03.2019 um 20:24:44 Uhr
Goto Top
Noch was: hier zu Hause unter 1809 geht Applocker für packaged apps. Vielleicht wirklich ein Bug in 1803. Bei MS wundert mich nichts, aber auch gar nichts mehr.
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 20:31:33 Uhr
Goto Top
Ich tue mich immer mit diesem Satz schwer:
Zitat von @DerWoWusste:
Man muss es auf OUs mit Computern verlinken und kann allenfalls Computer ausschließen, nicht User.


Ich erstelle in der GPO eine neue OU.
Wie verlinke ich dann den Clienten mit der OU
Einfach den Computer in die Sicherheitsfilter hinzufügen?

Mit Usern und GPO habe ich keine Verständnisschwierigkeiten, aber mit Computernrichtlinien, die per User gelten sollen schon.

Ich bin recht frisch was das Thema GPO's angeht


Erstaunlicherweise wurde Systemsteuerung und der Edgebrowser auch gesperrt, ich frage mich wieso die beiden gesperrt wurden und wie ich Systemsteuerung wieder entsperrt bekomme?
Mitglied: C0nvert
C0nvert 14.03.2019 um 20:33:21 Uhr
Goto Top
Zitat von @DerWoWusste:

Noch was: hier zu Hause unter 1809 geht Applocker für packaged apps. Vielleicht wirklich ein Bug in 1803. Bei MS wundert mich nichts, aber auch gar nichts mehr.

Perfekt ich danke dir ))
Mitglied: Spirit-of-Eli
Spirit-of-Eli 14.03.2019 um 20:34:44 Uhr
Goto Top
Zitat von @DerWoWusste:

Applocker ist im Computerkonfig-Abteil der GPO. Das kann gar nicht auf User gebunden wirken. Man muss es auf OUs mit Computern verlinken und kann allenfalls Computer ausschließen, nicht User. Damit es auf bestimmte User wirkt und auf andere nicht, kann man doch in den Einstellungen unter Applocker selbst erreichen.

Ach stimmt, das hatte ich gerade nicht mehr auf dem Schirm. Dann ist die Authentifizierung eh hinfällig.
Mitglied: C0nvert
C0nvert 14.03.2019 um 20:36:24 Uhr
Goto Top
Aber mit Authentifizierten Usern scheint es zu funktionieren, auch wenn mehr geblockt wird als gewünscht.

Hab da grad ein bisschen Verständnisschwierigkeiten und ne richtige Erklärung im Internet finde ich auch nicht.
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 21:16:46 Uhr
Goto Top
Ja das mit den Authentifizierten Benutzern ist keine Lösung es werden Apps geblockt die ich nicht mal konfiguriert habe

Also wie müssen jetzt die rechte richtig vergeben werden damit das Ganze funktioniert?
Die Applocker Regel ist richtig.
Die Rechte sind Falsch

Um es villt so zuerklären.
Applocker soll nur auf einen Clienten ausgeführt werden, aber dort nur für eine bestimmte Gruppe von Benutzern.
Das sollte doch mit Applocker und den richtigen Rechten zu bewerkstelligen sein? face-smile
Mitglied: UnbekannterNR1
UnbekannterNR1 14.03.2019 um 22:32:00 Uhr
Goto Top
Zitat von @C0nvert:

Ja das mit den Authentifizierten Benutzern ist keine Lösung es werden Apps geblockt die ich nicht mal konfiguriert habe

Doch genau so wird es gemacht
Also wie müssen jetzt die rechte richtig vergeben werden damit das Ganze funktioniert?
Die Applocker Regel ist richtig.
Nein Leider nicht.


Um es villt so zuerklären.
Applocker soll nur auf einen Clienten ausgeführt werden, aber dort nur für eine bestimmte Gruppe von Benutzern.
Das sollte doch mit Applocker und den richtigen Rechten zu bewerkstelligen sein? face-smile
Ist es....

Zum Verständnis Applocker funktioniert wie eine Whitelist zumindest in der Config am besten. Um dein Ziel zu erreichen musst deine Applocker Regeln anpassen. Leider musst du im Applocker ALLE Apps die du nutzen willst freischalten. Das machst du als erstes und ja damit meine ich alle Apps das Startmenü ist eine App Cortana Suche im Startmenü ist eine App usw. Einstellungen ist auch eine App der Rechner usw.
Und wenn du nicht alle User einschränken willst kannst du auch eine Herausgeberregel für eine Gruppe anlegen die nur * enthält und damit alle Apps zulässt.

Extra Tipp: am einfachsten kannst du die Appregeln von einem Windows10 Client mit RSAT Tools erstellen. Der kann dann die Apps aus dem System auslesen.
Mitglied: DerWoWusste
DerWoWusste 14.03.2019 aktualisiert um 22:39:33 Uhr
Goto Top
Man kann Whitelisting machen oder blacklisting. COnvert scheint Blacklisting machen zu wollen. Das muss er schon selber wissen.

Du hast eine OU mit all deinen PC. Du verlinkst eine GPO auf diese OU. Du lässt Authentifizierte Nutzer lesen, aber nicht übernehmen. Zum Lesen UND übernehmen berechtigst Du die Gruppen von Computern (vorher erstellen), die diese GPO bekommen sollen. Willst Du dann noch nur bestimmte Nutzer mit der Blacklist angehen, dann konfigurierst Du das in den Applockerregeln.

Die Dienstestartart des entscheidenden Dienstes "application identity" kannst Du dann auch auf diese Weise auf den betroffenen PCs auf automatisch setzen.
Mitglied: UnbekannterNR1
UnbekannterNR1 14.03.2019 um 22:41:26 Uhr
Goto Top
Okay
Zitat von @DerWoWusste:

Man kann Whitelisting machen oder blacklisting. COnvert scheint Blacklisting machen zu wollen. Das muss er schon selber wissen.

Okay super hatte ich mal versucht aber auch nicht hinbekommen, und bin dann zur Whitelist gewechselt. Muss mich wohl auch nochmal hinsetzen.
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 23:21:53 Uhr
Goto Top
Zitat von @DerWoWusste:

Man kann Whitelisting machen oder blacklisting. COnvert scheint Blacklisting machen zu wollen. Das muss er schon selber wissen.

Du hast eine OU mit all deinen PC. Du verlinkst eine GPO auf diese OU. Du lässt Authentifizierte Nutzer lesen, aber nicht übernehmen. Zum Lesen UND übernehmen berechtigst Du die Gruppen von Computern (vorher erstellen), die diese GPO bekommen sollen. Willst Du dann noch nur bestimmte Nutzer mit der Blacklist angehen, dann konfigurierst Du das in den Applockerregeln.

Die Dienstestartart des entscheidenden Dienstes "application identity" kannst Du dann auch auf diese Weise auf den betroffenen PCs auf automatisch setzen.

Hab das jetzt so gemacht wie du beschrieben hast
PC (Client) in meinem Fall Domäne-Computer in die Sicherheitsfilterung hinzugefügt
Unter Delegation: Domain Computer -> Lesen und Gruppenrichtlinien Übernehmen
Authentificated User --> Lesen und Haken bei Gruppenrechtlinien übernehmen entfernt!
Das sind meine Applocker Einstellungen:

applocker

Sobald ich mich einlogge kann ich nix mehr öffnen , kein Startmenü.. garnix
Gpresult /h zeigt nicht mal mehr an das die Regen angewandt wurde.
Das einzige was hilft, ich lösche den Dömain Computer aus der Sicherheitsfilterung und amche ein gpupdate/force aufm Clienten.
Dann kann ich ganz normal alles öffnen.

Wie geht sowas überhaupt?
Applocker scheint komplett eigene Regeln aufzustellen
Mitglied: DerWoWusste
DerWoWusste 14.03.2019 um 23:22:36 Uhr
Goto Top
Das passiert, wenn man nicht aufpasst. Welche apps hast Du denn geblockt, alle? Wie ist die Standardeinstellung, erlauben oder blockieren?
Mitglied: C0nvert
C0nvert 14.03.2019 aktualisiert um 23:27:22 Uhr
Goto Top
Standart ist alles erlauben, siehe bild
Wie gesagt ich möchte alles erlauben außer IE
Von mir aus kann das auch Firefox sein oder whatever.
Hab schon versucht mit meiner eigenen Regel alles zu erlauben, zeigt keine Wirkung.

Firefox blockt er auch nicht, obwohl ich das explizit verboten habe.
Mitglied: C0nvert
C0nvert 14.03.2019 um 23:31:44 Uhr
Goto Top
So sieht bei mir der Reiter Delegieren aus
erweitert 1
erweitert 2
Mitglied: DerWoWusste
DerWoWusste 14.03.2019 um 23:45:18 Uhr
Goto Top
Den Reiter Packaged apps stellst Du nicht dar. Das Startmenü selbst ist auch eine packaged app, was den Verdacht nahelegt, dass Du packaged apps generell blockst. Du solltest den Audit mode benutzen, nicht den Enforce-Mode. Dann wird nicht blockiert, sondern nur geloggt ins Applocker-Eventlog..
Mitglied: C0nvert
C0nvert 15.03.2019 um 00:10:06 Uhr
Goto Top
Packaged Apps ist noch nix eingerichtet bei mir, keine regeln oder so
Mitglied: DerWoWusste
DerWoWusste 15.03.2019 um 09:03:52 Uhr
Goto Top
Und, was bedetet das, wenn Applocker aktiv ist und keine Regeln bestehen? Alles geht oder alles ist verboten?
Mitglied: C0nvert
C0nvert 15.03.2019 um 14:36:18 Uhr
Goto Top
Logischerweise das alles verboten ist,
Sonst wären ja die Standardregeln nicht "erlauben"
Aber wie gesagt Applocker scheint die Regeln nicht zu befolgen, gilt auch für'n Admin account
Mitglied: DerWoWusste
DerWoWusste 15.03.2019 um 14:58:27 Uhr
Goto Top
Das ist genau so zu erwarten. Und jetzt lege die Standardregeln für die packaged apps an.
Mitglied: C0nvert
C0nvert 15.03.2019 um 15:18:12 Uhr
Goto Top
Aha
Ich glaube ich fangs an zu verstehen
Applocker blockt ja generell alles.
Alle Microsoft Apps inkl Start Menü sind ja Metro Apps, die vermutlich vom Apocker geblockt werden ,selbst wenn ich packaged Apps nicht definiert bzw in meinem Fall aktiviert habe ?
(Eigenschaften Applocker, hacken bei der Kategorie setzten)
Verstehe ich das richtig ?
Wenn das der Fall ist, ist das Programm komisch, da packaged apps nichtmal aktiviert ist.
Mitglied: DerWoWusste
DerWoWusste 15.03.2019 um 15:34:13 Uhr
Goto Top
Im Enforcement ist es im Bereich packaged apps bei Dir unkonfiguriert? Dann ist das Verhalten komisch, das würde ich auch nicht erwarten. Füge dennoch die Default-Regeln für packaged apps hinzu und gut ist.
Mitglied: C0nvert
C0nvert 24.03.2019 um 11:38:33 Uhr
Goto Top
So zurück aus'm Urlaub :D
Ja im Enforcement Bereich ist es unkonfiguriert.
Mache ich die Tage und melde mich dann zwecks Feedback.