locked
Win 7/10: Programme per AppLocker blockieren RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Liebes Forum,

    ich versuche den Start von diversen AutoUpdatern (Java, Acrobat...) per AppLocker zu blockieren.
    Leider klappt das nicht.

    Da im Ereignisprotokoll nichts steht, habe ich das Protokollieren per AppLocker (https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/ee844150(v=ws.11)) aktiviert.
    Auch da steht nichts drin im Ereignisprotokoll.
    Die AppLocker GPO wird angewandt, laut gpresult /r, doch Auswirkungen sind nicht zu bemerken, alle geblockten Programme laufen wie gewohnt.

    Ich bitte um Tipps, wie ich die AppLocker Funktion kontrollieren kann.

    Viele Grüße
    Davorin

    Montag, 13. August 2018 08:55

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Ok, Win7 Pro hat kein AppLocker.

    Hab es dann über das Deaktivieren des Dienstes "Adobe Acrobat Update Service" versucht
    Der Dienst ist deaktiviert und Beendet, doch AcroTry läuft weiter.

    Ok, AcroTray ist gar nicht der Updater, dann eben Software Restrictions.
    Ich habe unter "Additional Rules" eine Path-Rule aufgesetzt und den Pfad und die entsprechende exe-Datei (acrotry.exe und adobearm.exe) eingetragen und auf "Disallow" gesetzt.

    Klappt immer noch nicht.

    Hat jemand eine Idee, wie ich diese lästigen AutoUpdater Programme per GPO dauerhaft deaktivieren kann?

    Montag, 13. August 2018 09:26
  • Question
    Anmelden
    0
    Anmelden

    Moin Davorin,

    1. natürlich hat Win7Pro auch AppLocker, es ist nicht editionsspezifisch. <-- stimmt nicht, habe ich im nächsten Post korrigiert

    2. Damit AppLocker greift, muss AppIDSvc laufen, das ist OOB aber nicht gegeben, sondern Du musst das aktivieren.

    3. AppLocker ist eine Whitelisting Engine. Du musst schauen, welche Policy das AcroTray zugelassen hat, und dort eine Ausnahme machen. Ist eine Allow-Policy in Kraft, kannst Du für den gleichen Security Context das Programm nicht mehr verbieten.

    4. Du kannst Dein Policy-Regelwerk auf einem frischeren OS (https://technet.microsoft.com/de-de/library/hh847213(v=wps.630).aspx) testen.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.



    Montag, 13. August 2018 09:35
  • Question
    Anmelden
    0
    Anmelden

    Es bleibt dabei: "AppLocker Komponente auf dieser SKU nicht verfügbar."
    Im Internet steht, dass AppLocker erst ab Ultimate verfügbar ist, vorher kann man zwar die Richtlinien erstellen und exportieren, aber nicht nutzen :-(

    AppIDSvc läuft, automatisch.

    Auf Win10 habe ich es noch nicht testen können.

    Montag, 13. August 2018 10:14
  • Question
    Anmelden
    0
    Anmelden

    Am 13.08.2018 schrieb Davorin Scharping:

    ich versuche den Start von diversen AutoUpdatern (Java, Acrobat...) per AppLocker zu blockieren.
    Leider klappt das nicht.

    Adobe liefert sog. AMDX-Templates zum Reader DC. Darin kannst Du den
    Updater abschalten. Zusätzlich/alternativ via GPO den Dienst auf
    Deaktiviert stellen. Es gibt auch noch eine geplante Aufgabe, die
    kannst Du auch via GPP löschen lassen. Und dann noch den Eintrag im
    RUN-zweig der Registry.
    Das ist dann aber nur der Reader, falls auch noch ein Flash Player
    installiert ist, geht es noch weiter. In
    https://www.wsus.de/adobe_flash_player_ueber_wsus_bereitstellen hab
    ich das mal dokumentiert.

    Für Java geht es ähnlich langwierig. Im MSI von Java kannst Du auch
    den Updater gleich abschalten. Zusätzlich gibt es einen Registry Key
    um das abzuschalten. Weiß ich aber auswendig nicht, sollte sich aber
    finden lassen.

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Montag, 13. August 2018 16:30
  • Question
    Anmelden
    0
    Anmelden

    Ja, stimmt, sorry :-( 

    Konnte mir echt nicht vorstellen, dass jedes Netzwerk, wo ich das bisher implementieren durfte, Enterprise im Einsatz hatte, aber das wird dann wohl so sein.

    Dann bleiben Dir auf Win 7 wirklich nur die SRP...

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.


    Montag, 13. August 2018 17:46