2
Applocker sperrt Office Datei öffnen aus Outlook
Hallo,
in einer reinen W2k8 R2 Domainumgebung wird der Applocker zum Schutz der Anwendungen eingesetzt. Es gibt keine Standardregeln. Es sind nur die Anwendungen erlaubt, die explizit per Applockerregel definiert sind. Für Office wurde eine Herausgeberregel verwendet.
Wenn ich ein Officeprodukt starte, sehe ich im Applocker Ereignisprotokoll diese Meldung.
Bis hier hin ist alles okay, denn die Anwendung liegt im Pfad %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE und wird gestartet. Wenn ich im Outlook eine Mail mit einen Officedateianhang, in meinen Fall ein Worddokument, öffne, kommt diese Meldung.
Die gleiche Anwendung wird geblockt.
Öffne ich ein Worddokument, in dem ich das Dokument per Doppelklick öffne, geht Word ohne Probleme auf. Nur wenn ich aus einer Mail öffne, macht der Applocker diese Probleme.
Könnt Ihr euch das irgendwie erklären?
Gruß,
mexx
in einer reinen W2k8 R2 Domainumgebung wird der Applocker zum Schutz der Anwendungen eingesetzt. Es gibt keine Standardregeln. Es sind nur die Anwendungen erlaubt, die explizit per Applockerregel definiert sind. Für Office wurde eine Herausgeberregel verwendet.
Wenn ich ein Officeprodukt starte, sehe ich im Applocker Ereignisprotokoll diese Meldung.
ALLGEMEIN:
Die Ausführung von %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE wurde zugelassen.
DETAILS:
- System
- Provider
[ Name] Microsoft-Windows-AppLocker
[ Guid] {CBDA4DBF-8D5D-4F69-9578-BE14AA540D22}
EventID 8002
Version 0
Level 4
Task 0
Opcode 0
Keywords 0x8000000000000000
- TimeCreated
[ SystemTime] 2013-07-22T12:59:29.898651100Z
EventRecordID 36665
Correlation
- Execution
[ ProcessID] 1976
[ ThreadID] 7956
Channel Microsoft-Windows-AppLocker/EXE and DLL
Computer ***********
- Security
[ UserID] S-1-5-21-****
- UserData
- RuleAndFileData
PolicyName EXE
RuleId {5EA342E4-A13F-46DC-9F12-**********}
RuleName MICROSOFT OFFICE 2010, aus O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US
RuleSddl D:(XA;;FX;;;S-1-5-21-1974556877-701200001-1594628879-5988;((Exists APPID://FQBN) && ((APPID://FQBN) >= ({"O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2010\*",0}))))
TargetUser S-1-5-21-********************
TargetProcessId 8244
FilePath %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE
FileHash
Fqbn O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2010\WINWORD.EXE\14.0.6129.5000 Bis hier hin ist alles okay, denn die Anwendung liegt im Pfad %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE und wird gestartet. Wenn ich im Outlook eine Mail mit einen Officedateianhang, in meinen Fall ein Worddokument, öffne, kommt diese Meldung.
ALLGEMEIN:
Die Ausführung von %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE wurde verhindert.
DETAILS:
- System
- Provider
[ Name] Microsoft-Windows-AppLocker
[ Guid] {CBDA4DBF-8D5D-4F69-9578-BE14AA540D22}
EventID 8004
Version 0
Level 2
Task 0
Opcode 0
Keywords 0x8000000000000000
- TimeCreated
[ SystemTime] 2013-07-22T12:59:30.616255700Z
EventRecordID 36666
Correlation
- Execution
[ ProcessID] 8776
[ ThreadID] 4796
Channel Microsoft-Windows-AppLocker/EXE and DLL
Computer **************
- Security
[ UserID] S-1-5-21-********************
- UserData
- RuleAndFileData
PolicyName EXE
RuleId {00000000-0000-0000-0000-000000000000}
RuleName -
RuleSddl -
TargetUser S-1-5-21-**********************
TargetProcessId 9960
FilePath %PROGRAMFILES%\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE
FileHash
Fqbn O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2010\WINWORD.EXE\14.0.6129.5000
Die gleiche Anwendung wird geblockt.
Öffne ich ein Worddokument, in dem ich das Dokument per Doppelklick öffne, geht Word ohne Probleme auf. Nur wenn ich aus einer Mail öffne, macht der Applocker diese Probleme.
Könnt Ihr euch das irgendwie erklären?
Gruß,
mexx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 212094
Url: https://administrator.de/contentid/212094
Printed on: April 19, 2024 at 10:04 o'clock
2 Comments
Latest comment
1
Daran lag es!
Wenn der Applocker genutzt wird und die Officeprodukte regelt, kommt es beim Öffnen von Dokumenten aus Outlook zu einer Fehlsperrung. Das liegt daran, dass die Dokumente im geschützten Modus geöffnet werden.
Das Hitfix hier hat mir geholfen. DasProblem ist gelöst.
http://support.microsoft.com/kb/2532445
Wenn der Applocker genutzt wird und die Officeprodukte regelt, kommt es beim Öffnen von Dokumenten aus Outlook zu einer Fehlsperrung. Das liegt daran, dass die Dokumente im geschützten Modus geöffnet werden.
Das Hitfix hier hat mir geholfen. DasProblem ist gelöst.
http://support.microsoft.com/kb/2532445
