Hallo,
wir nutzen seit kurzer Zeit den Windows AppLocker um unerwünschte Anwendungen zu blockieren. Das Freischalten erwünschter Firmenanwendungen funktioniert problemlos, nicht jedoch der Taskmanager.
Der lokale Administrator darf den Taskmanager ausführen.
Der User bekommt die Meldung "Diese App wurde vom Systemadmin gesperrt".
Das Log (Eventlog: Microsoft- Windows - AppLocker- EXE and DLL) sagt aber "Die Ausführung von %System32%\TASKMGR.EXE wurde
zugelassen. "
Führt man c:\windows\system32\taksmgr.exe händisch aus kommt wieder die Sperrmeldung.
Zum Testen habe ich die AppLocker GPO von "Enforce rules" (= blocken) auf "Audit only" (=nur loggen) umgestellt. Selbes Ergebnis.
Da wir zuvor schon Probleme mit dem Applocker hatten, habe ich, nach Änderung der GPO einen PC komplett neu installiert und Admin, sowie User neu angemeldet. Selbes Ergebnis, obwohl er nur loggen sollte.
Eigentlich sollte der Taskmanager schon über die Defaultrules freigeschaltet sein, da es - da von Microsoft bereitgestellt - eine signierte Datei ist.
Applocker-Konfig:
Executable rules: Configured - Audit only
Windows Installer rule - not conf
Script rules - not conf
Packeged rules: Configured - Audit only
In den Exe gibt es mittlerweile eine "Allow ANY" Regel. Bei den Apps kann der Taskmanager nicht explizit eingetragen werden, da ich die App nirgends finde.
Hat irgendwer ähnliche Probleme, oder vielleicht eine Idee, wie man noch anders an die Sache herangehen könnte?
Beim Recherchieren fiel mir ein Bericht in die Hände, dass es mit Calc ähnliche Probleme gab. Taschenrechner wurde gesperrt doch geloggt als "erlaubt" - doch das ist einige Versionen her und längst weggepatched ...
Testbetriebssystem: Win10 1709
VG C.
