none
Applocker - OneDrive / Ausnahme RRS feed

  • Frage

  • Liebes Forum,

    Ich bin aktuell dabei, Applocker mit Windows 10 einzuführen.

    Die Ausgangslage ist, dass alle .exe aus %APPDATA% und %LocalAPPDATA% geblockt werden soll.
    Jedoch führt Windows beim der Anmeldung das OneDriveSetup.exe aus unter:

    %LocalAppData%\Microsoft\OneDrive\%VERSION%\OneDriveSetup.exe

    Nun habe ich diese als Ausnahme definiert. Jedoch greift diese Ausnahme nicht.

    Weshalb?

    Hier meine Konfiguration:

    

    Deny-Regel:

    Bei der Anmeldung erscheint diese schöne Applocker-Meldung und in den Eventlogs ist folgendes Eingetragen:

    Besten Dank für eure Mithilfe!


    Freundliche Grüsse

    Mittwoch, 23. Januar 2019 11:53

Antworten

  • AppLocker macht Deny von Haus aus. Das brauchst Du nur als Regel, wenn Du global etwas zugelassen hast und dann darunter wieder etwas verweigern möchtest. Also schmeiß Deine Deny-Regel weg und mach ne Allow-Regel stattdessen.

    Und ich würde hier auch nicht mit einer Pfadregel arbeiten, sondern mit einem Herausgeber. Das geht ja bis hinunter zum Exe-Namen.

    PS: Sind die 4 Regeln oben alle, die Du hast? Wenn AppLocker in irgendeiner anderen Regel einen Deny findet, zieht der...


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    • Als Antwort markiert Schmidi_ch Donnerstag, 24. Januar 2019 06:38
    Mittwoch, 23. Januar 2019 14:43
    Beantworter

Alle Antworten

  • AppLocker macht Deny von Haus aus. Das brauchst Du nur als Regel, wenn Du global etwas zugelassen hast und dann darunter wieder etwas verweigern möchtest. Also schmeiß Deine Deny-Regel weg und mach ne Allow-Regel stattdessen.

    Und ich würde hier auch nicht mit einer Pfadregel arbeiten, sondern mit einem Herausgeber. Das geht ja bis hinunter zum Exe-Namen.

    PS: Sind die 4 Regeln oben alle, die Du hast? Wenn AppLocker in irgendeiner anderen Regel einen Deny findet, zieht der...


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    • Als Antwort markiert Schmidi_ch Donnerstag, 24. Januar 2019 06:38
    Mittwoch, 23. Januar 2019 14:43
    Beantworter
  • Ich habe es nun nach deinem Rat umgesetzt. Das Applocker von haus aus "Deny" setzt, war mir nicht mehr bewusst.

    Habe die Deny-Regel entfernt. Eine neue Allow-Regel erstellt und den Herausgeber freigeben.

    Nun klappt es wie gewünscht.

    Vielen Dank für deine Hilfe!


    Freundliche Grüsse

    Donnerstag, 24. Januar 2019 06:38