Der wichtigste Schritt überhaupt ist festzustellen, ob auch wirklich genau diese Datei blockiert wird (die Du freigegeben hast). Ein kurzer Hintergrund dazu. Wenn Du zum Beispiel ein Programm starten und die Meldung erhältst, dass diese Blockiert wurde kann dies mehrere Gründe haben. Die Datei muss über eine Dateifreigabe freigegeben werden. Wenn es dann immer noch nicht geht, sollte man sicherstellen, dass über die Einstellung im Sensor wenigstens einmal der Explorer Prozess neu gestartet wurde. Wenn es dann immer noch nicht geht, könnte es sein, dass noch eine zusätzliche Datei im Hintergrund zu diesem Problem führt.


Das findest Du auf zwei Wegen heraus:

  • Im Sensor in der Ausgabe der geblockten Dateien
  • Im EventLog unter der Quelle "SoftwareRestrictionPolicies" im Anwendungsprotokoll


Es kann nämlich sehr gut sein, dass Du zwar die Setup.exe ausführen, und die Blockiert Meldung erhältst, in Wirklichkeit aber irgendeine andere Datei die im Hintergrund entpackt/genutzt wird, blockiert wurde. Wenn Du diese Datei dann über unseren Sensor ebenfalls freischaltest, kannst Du Dich dem ganzen solange annähern, bis es funktioniert. Wichtig ist nur, dass für eine Dateifreigabe im Sensor, die Datei noch existieren muss. Ansonsten kann kein Hash erstellt werden. 


Pro-Tipp: Manchmal stimmt der angezeigte Pfad im EventLog nicht. Starte in diesem Fall mit einem berechtigten Benutzer das Programm. Lokalisiere im Windows Task-Manager den Prozess und nutze die Funktion "Dateipfad öffnen". Dieser bringt Dich direkt zum Ausführungsort der .exe  So kann zum Beispiel ein Prozess der unter C:\abc\ aufgelistet wird im EventLog als blockiert, tatsächlich ganz woanders liegen. Dadurch kannst Du eine berechtigte Pfadfreigabe vornehmen (wenn eine Generierung des Hashes nicht sinnvoll/möglich ist).


Wir empfehlen zudem bei Terminal Server unser Terminal Tool zu starten. Hier ist zu beachten, dass man das Tool als den jeweiligen User startet und die Freigabe anfordert. Anschließend wird das Programm nun in den Sensoreinstellungen aufgelistet damit man es nun freigeben kann.


Weitere Informationen finden Sie hier: "Problembehandlung bei Richtlinien für Softwareeinschränkung" bei

 docs.microsoft.com


Analyse unter AppLocker ab Windows 11 H2/22

Die Prinzipielle Analyse von Problemen unter AppLocker erfolgt ähnlich wie man es von SAFER schon kannte , über die Ereignisanzeige. 


Anzeige der aktuellen Regeln

Die gesetzten Regeln lassen sich durch die „Lokale Sicherheitsrichtlinie“ (secpo.msc) einfach überprüfen. Es gilt zu prüfen ob die gewünschten Regeln auch tatsächlich existieren und korrekt eingetragen sind.



Anzeige der blockierten / erlaubten Dateien

AppLocker ist sehr gesprächig , was sich nutzen lässt zur genauen Analyse des Verhaltens. Dazu kann die Ereignisanzeige genutzt werden, wo AppLocker innerhalb der Anwendungs- und Dienstprotokolle zu finden ist.



 

Basierend auf der Datei sollte in die entsprechende Kategorie geschaut werden um die passende Ausführung zu finden:


 

Mit einem Blick in die Details des Ereignisses kann man sogar einsehen, welche Regel gegriffen hat und die Ausführung in diesem Falle der explorer.exe erlaubte:



Das gleiche gilt natürlich auch für Blockierungen:


 

Wichtig: Pfadregeln greifen vor Hash-Regeln. Beispiel: Es existiert eine Dateihash Regel für die Datei wmiexplorer.exe. Weiterhin existiert eine Pfadregel (Verbot) auf den Pfad „C:\temp“. Die Datei wmiexplorer.exe kann nun in allen Verzeichnissen ausgeführt werden, außer im Verzeichnis C:\temp, da die Pfadverbot Regel zuerst evaluiert wird von AppLocker.


Windows 11 Apps: Viele Applikationen wie Terminal / Notepad werden zwar über eine .exe gestartet aber starten im Hintergrund eine Win11-App. Daher sollte bei Windows 11 und gesperrten Anwendungen immer auch das EventLog „Packaged app-execution“ geprüft werden.

 

Testen von AppLocker Zugriffen

AppLocker bietet über die PowerShell eine einfache Möglichkeit einen Zugriff zu simulieren und seine Regeln zu testen.

Mit Get-AppLockerPolicy -Local | Test-ApplockerPolicy -Path “PfadzurDatei” -User “Benutzer” kann einfach das verhalten geprüft werden. Hier gibt es eine Hash Regel, die diese Datei erlaubt.



Windows 11 Apps:

Windows 11 Apps die durch Legacy .exe Dateien (Notepad.exe) gestartet werden, können als Erlaubt angezeigt werden, obwohl die APP an sich später blockiert wird.

Hier kann es helfen folgendes zu tun:

  • Get-AppLockerPolicy -Local -Xml >> “Dateipfad”
    1.  Exportiert die Config in ein XML
  • Test-ApplockerPolicy -XmlPolicy “PfadzurXML” -Packages (Get-AppxPackage) -User “Benutzer”

 

Hier sieht man wie APP Anwendungen alle gesperrt sind durch eine Regel.



 

Sollte alles funktionieren und trotzdem eine fehlerhafte Dateihandhabung vorliegen, kann ein Neustart helfen oder es gilt zu prüfen ob noch ein Bug in der genutzten Windows Version existiert, die über ein Update gelöst werden kann.