none
Skript für AlwaysOn-Profil Installation wird nicht geladen RRS feed

  • Frage

  • Hallo,

    ich habe folgendes Anliegen:

    In unserer Organisation setzen wir AlwaysOn VPN ein. Das funktioniert soweit auch ohne Probleme. Seit ein paar Wochen funktioniert allerdings die Installation des Profils auf den Clients nicht mehr richtig. Das Profil (als XML-File in der NETLOGON-Freigabe unserer Domäne) wird mithilfe eines Powershell Skripts installiert (bei Anmeldung eines Benutzers als Task hinterlegt). Die Ausführung des Skripts wird als NT-AUTORITÄT\System vorgenommen. Das Skript befindet sich auch in der NETLOGON-Freigabe unserer Domäne. Das hat bis vor kurzem auch wunderbar funktioniert. Nun wurden vor einiger Zeit Änderungen am Profil vorgenommen. Dabei ist aufgefallen, dass die Ausführung bzw. das Laden des Skripts verhindert wird.

    Fehlermeldung: \\Pfad zum Profil\skript.ps1: Die Datei "\\Pfad zum Profil\skript.ps1" kann nicht geladen werden, da der Vorgang durch Richtlinien für die Softwareeinschränkung, z.B. die von der Gruppenrichtlinie erstellten Richtlinien, blockiert wird.

    CategoryInfo: Sicherheitsfehler: (:) [], PSSecurityException

    FullyQualifiedErrorID: UnauthorizedAccess

    Dazu muss ich sagen, dass wir keine Richtlinien für die Softwareeinschränkung nutzen. Allerdings nutzen wir den AppLocker. Im Applocker ist das Ausführen von Skripts für den Pfad, in dem das Profil und das Skript liegen freigegeben. Das Skript hat eine gültige digitale Signatur.

    Setze ich in der AppLocker GPO die Erzwingung für die Skriptregeln auf "überwachen" gibt es keine Probleme. Werden die Regeln jedoch erzwungen, erscheint die o.g. Fehlermeldung.

    Domänenfunktionsebene: Windows Server 2016

    Client: Windows 10 Enterprise 1809

    Ich hoffe hier kann mir jemand weiterhelfen. Vielen Dank schon mal im Voraus!


    Donnerstag, 17. Oktober 2019 07:09

Alle Antworten

  • https://social.technet.microsoft.com/Forums/lync/en-US/99b48f28-749c-4f13-bbc2-3bb4db1a5bf8/applocker-allow-application-on-network-path-eg-home-drive?forum=winserverGP

    "afaik, Applocker fails with path rules for network shares. 

    Consider implementing hashes (in your case this is important because for some reason executables are stored in folders which users can Modify, so executables are easy to infect with a virus) or publisher rules, if applicable."

    Anscheinend gilt dies heute immer noch.

    Ich empfehle dir, das Script auf die Clients zu verteilen und dann lokal auszuführen.

    Donnerstag, 17. Oktober 2019 07:45
  • Vielen Dank für den Hinweis, leider funktioniert das auch nicht. Skript und die zu installierende Profildatei (XML) befinden sich im Windows-Ordner. Dieser ist durch eine Standardregel im Applocker auch zugelassen. Es erscheint die selbe Fehlermeldung.
    Donnerstag, 17. Oktober 2019 08:12
  • Da würde ich mal einen Blick ins AppLocker-Eventlog werfen. Paßt das, was blockiert wird, zu der Regel, die es angeblich zulässt? Und aufpassen - bei den Regeln musst Du, um den tatsächlichen Pfad zu sehen, sie BEARBEITEN und dann auf die 2. Registerkarte wechseln. Die erste ist NUR der Name.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Donnerstag, 17. Oktober 2019 12:54
    Beantworter
  • Moin,

    im Applocker Eventlog steht leider gar nichts was diese Regel angeht. Lediglich im Powershell Eventlog erscheint die bereits genannte Fehlermeldung.

    Der Pfad in der Regel ist korrekt angegeben.

    Freitag, 18. Oktober 2019 04:45
  • Gar nichts? Kein "wurde zugelassen" oder "wurde verweigert"? Und meine Frage bezog sich nicht auf die Regel, sondern nur auf "wurde verweigert" im AppLocker-Eventlog. Wenn das nicht auftaucht, hat es mit AppLocker nichts zu tun.

    Oder habt Ihr versehentlich auch noch Software Restriction Policies aktiviert?


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Freitag, 18. Oktober 2019 09:45
    Beantworter
  • Kein "wurde zugelassen", kein "wurde verweigert". Komischerweise kann das Skript geladen werden wenn die Applocker-Richtlinie deaktiviert wird, deshalb gehe ich davon aus, dass der Applocker etwas damit zu tun hat...

    Ich hab die Applocker-Richtlinie schon mehrmals angepasst, gelöscht, neu erstellt usw. Leider ohne Erfolg.

    Könnte es stattdessen an der Powershell liegen? Schließlich tauch der Fehler dort im Eventlog auf. Nichtsdestotrotz bin ich immer noch der Meinung, dass der Applocker auch etwas damit zu tun hat, da es ja funktioniert, wenn der Applocker deaktiviert wird.

    Freitag, 18. Oktober 2019 10:33
  • Nur um sicher zu gehen: Du schaust schon bei AppLocker/MSI und Skript nach? Dann verstehe ich es nicht... :-()

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Freitag, 18. Oktober 2019 14:39
    Beantworter
  • Moin,

    ja ich schaue bei MSI und Skript nach.

    Montag, 21. Oktober 2019 04:03