122990
Goto Top

Windows 10: Apps mit Applocker sperren

Diese Anleitung beschreibt kurz und bündig die nötigen Schritte um Apps unter Windows 10 mit Applocker zu sperren.

back-to-topSchritt 1: Dienst Anwendungsidentität (AppIDSvc) auf automatisch stellen und starten

Damit unsere in den nächsten Schritten erstellten Richtlinien Anwendung finden müssen wir den Dienst Anwendungsidentität (AppIDSvc) starten und den Startmodus auf Automatisch stellen. Da unter Windows 10 in der Computerverwaltung die Umstellung der Startart des Dienstes verweigert wird, müssen wir uns auf die Konsole begeben.
Dazu starten wir eine CMD-Shell mit Admin-Rechten:

440fbf59a48227d73581a6a53f810fe4

In diese geben wir nun den folgende zwei Befehle nacheinander ein:
(Bitte auf das Leerzeichen nach dem Gleichheitszeichen achten, dies muss dort stehen)
sc config appidsvc start= auto
sc start appidsvc
da3da2f38e3e3c9169f073d200c34af4

back-to-topSchritt 2: Erstellen einer APP-Richtlinie für Applocker

Nun müssen die Regeln der Anwendungen oder Apps welche erlaubt und welche zur Ausführung verweigert werden sollen erstellt werden. Dazu öffnen wir den Gruppenrichtlinien-Editor
gpedit.msc
Darin navigieren wir in folgenden Zweig:
Computerkonfiguration > Windowseinstellungen > Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > Applocker
ec45d251235ccaa723f903b6edb74586

back-to-topErstellen einer Beispiel-Regel zur Verweigerung der Ausführung des neuen Browsers Microsoft Edge
Als Beispiel erstellen wir eine Regel die den Benutzern auf dem Computer verbietet, den neuen Browser Microsoft Edge auszuführen.

Dazu navigieren wir in den Unterzweig App-Paketregeln. Zu aller erst müssen wir eine Standardregel erzeugen die uns erst einmal Global das Ausführen von Apps erlaubt, um dann im zweiten Schritt eine Verweigerungsregel zu erstellen. Zur Erklärung: Ohne diese Standardregel würde uns später die Ausführung jeglicher Apps verweigert. Zur Info: Verweigerungen haben hier wie bei NTFS-ACLs Vorrang wenn es sich überschneidende Regeln gibt.

Um die Standardregel zu erzeugen genügt es das Kontextmenü auf dem Zweig App-Paketregeln zu öffnen und dann Standardregeln erstellen auszuwählen.

a3261e0b868722504bd4b0fa3ab2c62b

Damit sind nun alle signierten Apps auf dem Rechner ausführbar.

Nun erstellen wir die eigentliche Verweigerungsregel für den neuen Browser Edge. Dazu öffnen wird wieder das Kontextmenü und wählen Neue Regel, und folgen den Einstellungen auf den Bildern:

cb98512c216c0f64d75a04bacbb90455

68ab62592f04c9fd0480f308af34b5de

718e6f17e66b2355ca56940281096400

Die nächsten zwei Seiten kann man noch Ausnahmen definieren und einen Namen für die Regel angeben.
Zum Schluss sollte es dann so aussehen:

7a8816d738efcfee7f1e135b09576d08

Wenn wir nun versuchen den Microsoft Edge Browser zu öffnen wird uns dies mit einer Meldung verweigert face-smile

e1d8f4dce8105a2c7f9099b972371f89

Das ganze lässt sich selbstverständlich auch per GPO auf mehrere Rechner verteilen. Dies macht man dann auf dem Server per Group Policy Managment Console auf ähnliche Art und Weise. Und nicht vergessen den Dienst AppIDSvc ebenfalls per GPO auf den Clients zu aktivieren.

back-to-topAnhang

back-to-topDebugging / Log-Dateien von Applocker
Falls es unerwartet zu Problemen mit der Ausführung von Apps kommen sollte, die Logs findet man in der Ereignisanzeige unter:
Ereignisanzeige > Anwendungs- und Dienstprotokolle > Microsoft > Windows > Applocker
back-to-topHinweise
Falls Ihr versucht das ganze wieder rückgängig zu machen und auf das Problem stoßt das Windows euch verweigert die Startart des Dienstes appIDSvc zu ändern (auch per Admin-Konsole geht's nicht): Ihr könnt in diesem Fall die Startart des Dienstes über die Registry ändern:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppIDSvc
Dort den DWORD-Wert Start auf 3 setzen. Dann steht er wieder auf Manuell.

Nun viel Spaß beim Umsetzen
Gruß grexit

Content-Key: 277893

Url: https://administrator.de/contentid/277893

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 20.07.2015 um 22:56:44 Uhr
Goto Top
Hm...moin grexit.
Mit Verlaub, vorm Anleitung schreiben sollte man es selbst beherrschen. Es sind gravierende Schnitzer vorhanden. Gerade erst selbst angeeignet, oder?

Verweigerungen gehen nicht generell vor.
Und die default-Regeln sehen nicht vor, dass dann alles Signierte geht. Und man muss für den Dienst auch nicht mit sc oder regedit rumturnen, nein.

Auch kommt fast alles Wesentliche zu Regelarten zu kurz oder gar nicht.

Das solltest Du überarbeiten.
Mitglied: 122990
122990 21.07.2015 aktualisiert um 10:05:14 Uhr
Goto Top
Moin,
Gerade erst selbst angeeignet, oder?
Nö.
Und man muss für den Dienst auch nicht mit sc oder regedit rumturnen, nein.
Schau's dir halt mal unter Windows 10 an und versuch mal den Dienst unter den Diensten via GUI umzustellen face-wink geht nicht (Access Denied), auch nicht als Administrator (Build 10240). Regedit war ja nur für den Fall das man es lokal ohne GPO macht und die Startart wieder zurückstellen will..
Denn selbst das zurückstellen der Startart via SC auf der Kommandozeile geht ebenfalls in einer elevated Shell nicht, probier's bitte selber mal aus! Mag ja sein das es unter den Vorgänger OS noch funktioniert hat, im aktuellen Win10 Build (Enterprise) eben nicht mehr.
Und die default-Regeln sehen nicht vor, dass dann alles Signierte geht
Zumindest bei den "Apps" schon natürlich nicht bei den normalen Anwendungen, dafür ist ja auch ein anderer Abschnitt in Applocker vorhanden, ich besprach nur den App-Abschnitt nicht die Desktop-Apps!

Einfach nochmal genauer durchlesen face-smile

Werde bei Zeiten noch Details ergänzen.
Danke für die Rückmeldung.

Gruß grexit
Mitglied: 119944
119944 21.07.2015 um 09:53:26 Uhr
Goto Top
Moin,

Da ich gerade mit Software Restrictions teste würde ich mir das auch ganz gern mal anschauen.
Applocker ist vermutlich immernoch nur in der Enterprise oder Ultimate Version enthalten oder?

VG
Val
Mitglied: 122990
122990 21.07.2015 aktualisiert um 10:04:03 Uhr
Goto Top
Hallo val,
Applocker ist vermutlich immernoch nur in der Enterprise oder Ultimate Version enthalten oder?
Regeln erstellen kann man auch in der Pro-Version, jedoch lassen sich die Regeln nur auf den Enterprise Versionen erzwingen, d.h. wirken tun sie nur dort.

Gruß grexit
Mitglied: 119944
119944 21.07.2015 aktualisiert um 10:37:06 Uhr
Goto Top
Alles klar danke dir!

Regeln erstellen kann man auch in der Pro-Version, jedoch lassen sich die Regeln nur auf den Enterprise Versionen erzwingen, d.h. wirken tun sie nur dort.
Auch wenn mir der Sinn dahinter Regeln zu erstellen, welche nicht funktionieren, noch nicht ganz klar ist...

Kann man nur hoffen, dass es wie bei Bitlocker läuft und auch komplett in die Pro Version integriert wird.

VG
Val
Mitglied: DerWoWusste
DerWoWusste 21.07.2015 aktualisiert um 14:19:21 Uhr
Goto Top
Moin.

Der Dienst schaltet sich völlig selbständig korrekt ein, sobald Du etwas enforced.
Die Default-Regeln für apps, nicht für Desktopanwendungen...in der Tat, da war ich ungenau, sorry.

Grüße
DWW
Mitglied: 122990
122990 21.07.2015 aktualisiert um 19:13:12 Uhr
Goto Top
Der Dienst schaltet sich völlig selbständig korrekt ein, sobald Du etwas enforced.
Kann ich hier unter Windows 10 Enterprise nicht bestätigen, zumindest wenn man es lokal auf einer Maschine macht (ohne GPO in einer Domäne) wird der Dienst nicht automatisch gestartet und die Startart ändert sich ebenfalls nicht, auch ein Neustart ändert daran ebenfalls nichts. Da Enforcing in den Eigenschaften hab ich natürlich für APPs aktiviert.

Gruß grexit
Mitglied: DerWoWusste
DerWoWusste 21.07.2015 um 19:13:37 Uhr
Goto Top
Komisch dass es bei meinen beiden 10240 enterprise geht.
Mitglied: 122990
122990 21.07.2015 aktualisiert um 19:24:15 Uhr
Goto Top
Zitat von @DerWoWusste:
Komisch dass es bei meinen beiden 10240 enterprise geht.
Hast du alles nur lokal gemacht, also die Kisten waren in keiner Domäne ?

Hab hier ebenfalls zwei Versionen eine englische und eine deutsche Enterprise, beide aus den ESDs erzeugt. Beide zeigen das gleiche Verhalten das sie den Dienst nicht automatisch aktivieren wenn ich in den lokalen Gruppenrichtlinien Richtlinien erstelle, auch nach einem Neustart nicht.
Wäre mir auch neu, bisher musste ich den Dienst nämlich immer manuell aktivieren wenn ich Applocker nutzen wollte.
Mitglied: DerWoWusste
DerWoWusste 21.07.2015 um 19:28:30 Uhr
Goto Top
Die eine mit, die eine ohne Domäne. Aber tröste Dich, auch Applocker hat schon immer gebuggt beim Aktivieren, manchmal bin ich auch perplex fast verzweifelt.