info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Windows 11 22H2 und Software Restriction Policies / Safer
3 views
Skip to first unread message
Thomas Einzel
Nov 11, 2022, 1:37:06 PM11/11/22
to
Hallo zusammen,
Günther Born hat es in
https://www.borncity.com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/
erwähnt. Ich habe es vorhin in einer frischen W11 22H2 Vm getestet,
leider hat er recht, ich konnte als Standardbenutzer eine .exe aus einem
%systemroot%\test\ aufrufen und ausführen. Getestet habe ich es mit
einer ntx_safer.inf von Stefan Kanthak. Geladen am 09.11.22 von
https://skanthak.homepage.t-online.de/download/NTX_SAFER.INF
Die Test Vm war eine Testversion von Win 11 22H2 Enterprise, d.h.
AppLocker sollte funktionieren. Ich habe eine alte Version einer
applocker-default-policy.xml (die mir Christoph Schneegans mal vor
langer Zeit freundlicherweise zum testen geschickt hat) importieren -
die .exe aus dem Testordner wurde geblockt.
Was nun?
Hat jemand - außer Schlangenöl, Linux und Brain 1.0 - Vorschläge?
--
Thomas
Günther Born hat es in
https://www.borncity.com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/
erwähnt. Ich habe es vorhin in einer frischen W11 22H2 Vm getestet,
leider hat er recht, ich konnte als Standardbenutzer eine .exe aus einem
%systemroot%\test\ aufrufen und ausführen. Getestet habe ich es mit
einer ntx_safer.inf von Stefan Kanthak. Geladen am 09.11.22 von
https://skanthak.homepage.t-online.de/download/NTX_SAFER.INF
Die Test Vm war eine Testversion von Win 11 22H2 Enterprise, d.h.
AppLocker sollte funktionieren. Ich habe eine alte Version einer
applocker-default-policy.xml (die mir Christoph Schneegans mal vor
langer Zeit freundlicherweise zum testen geschickt hat) importieren -
die .exe aus dem Testordner wurde geblockt.
Was nun?
Hat jemand - außer Schlangenöl, Linux und Brain 1.0 - Vorschläge?
--
Thomas
Takvorian
Nov 11, 2022, 2:25:49 PM11/11/22
to
Thomas Einzel schrieb:
> Günther Born hat es in
> https://www.borncity.com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/
> erwähnt. Ich habe es vorhin in einer frischen W11 22H2 Vm getestet,
> leider hat er recht, ich konnte als Standardbenutzer eine .exe aus einem
> %systemroot%\test\ aufrufen und ausführen. Getestet habe ich es mit
> einer ntx_safer.inf von Stefan Kanthak. Geladen am 09.11.22 von
> https://skanthak.homepage.t-online.de/download/NTX_SAFER.INF
Dito, hier auch.
> Die Test Vm war eine Testversion von Win 11 22H2 Enterprise, d.h.
> AppLocker sollte funktionieren. Ich habe eine alte Version einer
> applocker-default-policy.xml (die mir Christoph Schneegans mal vor
> langer Zeit freundlicherweise zum testen geschickt hat) importieren -
> die .exe aus dem Testordner wurde geblockt.
>
> Was nun?
> Hat jemand - außer Schlangenöl, Linux und Brain 1.0 - Vorschläge?
Brain muss man im Grunde über sämtliche andere Maßnahmen setzen.
Man kann Windows auch ohne SRP und vor allen Dingen ohne Schlangenöl-Malware
recht gut konfigurieren, überwachen, analysieren und malwarefrei betreiben,
BTDT. Schlangenöl und Linux klammert man als Alternative somit zu Recht aus,
Brain auf keinen Fall.
Wer SRP nicht für sich selbst, sondern zur Versiegelung von DAU-Systemen
einsetzte, der hat allerdings anscheinend nun ein Problem.
> Günther Born hat es in
> https://www.borncity.com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/
> erwähnt. Ich habe es vorhin in einer frischen W11 22H2 Vm getestet,
> leider hat er recht, ich konnte als Standardbenutzer eine .exe aus einem
> %systemroot%\test\ aufrufen und ausführen. Getestet habe ich es mit
> einer ntx_safer.inf von Stefan Kanthak. Geladen am 09.11.22 von
> https://skanthak.homepage.t-online.de/download/NTX_SAFER.INF
> Die Test Vm war eine Testversion von Win 11 22H2 Enterprise, d.h.
> AppLocker sollte funktionieren. Ich habe eine alte Version einer
> applocker-default-policy.xml (die mir Christoph Schneegans mal vor
> langer Zeit freundlicherweise zum testen geschickt hat) importieren -
> die .exe aus dem Testordner wurde geblockt.
>
> Was nun?
> Hat jemand - außer Schlangenöl, Linux und Brain 1.0 - Vorschläge?
Man kann Windows auch ohne SRP und vor allen Dingen ohne Schlangenöl-Malware
recht gut konfigurieren, überwachen, analysieren und malwarefrei betreiben,
BTDT. Schlangenöl und Linux klammert man als Alternative somit zu Recht aus,
Brain auf keinen Fall.
Wer SRP nicht für sich selbst, sondern zur Versiegelung von DAU-Systemen
einsetzte, der hat allerdings anscheinend nun ein Problem.
Takvorian
Nov 11, 2022, 3:10:05 PM11/11/22
to
Thomas Einzel schrieb:
> Günther Born hat es in
> https://www.borncity.com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/
> erwähnt. Ich habe es vorhin in einer frischen W11 22H2 Vm getestet,
> leider hat er recht, ich konnte als Standardbenutzer eine .exe aus einem
> %systemroot%\test\ aufrufen und ausführen. Getestet habe ich es mit
> einer ntx_safer.inf von Stefan Kanthak. Geladen am 09.11.22 von
> https://skanthak.homepage.t-online.de/download/NTX_SAFER.INF
Dito, hier auch.
> Die Test Vm war eine Testversion von Win 11 22H2 Enterprise, d.h.
> AppLocker sollte funktionieren. Ich habe eine alte Version einer
> applocker-default-policy.xml (die mir Christoph Schneegans mal vor
> langer Zeit freundlicherweise zum testen geschickt hat) importieren -
> die .exe aus dem Testordner wurde geblockt.
>
> Was nun?
> Hat jemand - außer Schlangenöl, Linux und Brain 1.0 - Vorschläge?
https://learn.microsoft.com/de-de/windows/security/threat-protection/windows-defender-application-control/wdac-and-applocker-overview
https://learn.microsoft.com/de-de/windows/security/threat-protection/windows-defender-application-control/feature-availability
> Günther Born hat es in
> https://www.borncity.com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/
> erwähnt. Ich habe es vorhin in einer frischen W11 22H2 Vm getestet,
> leider hat er recht, ich konnte als Standardbenutzer eine .exe aus einem
> %systemroot%\test\ aufrufen und ausführen. Getestet habe ich es mit
> einer ntx_safer.inf von Stefan Kanthak. Geladen am 09.11.22 von
> https://skanthak.homepage.t-online.de/download/NTX_SAFER.INF
> Die Test Vm war eine Testversion von Win 11 22H2 Enterprise, d.h.
> AppLocker sollte funktionieren. Ich habe eine alte Version einer
> applocker-default-policy.xml (die mir Christoph Schneegans mal vor
> langer Zeit freundlicherweise zum testen geschickt hat) importieren -
> die .exe aus dem Testordner wurde geblockt.
>
> Was nun?
> Hat jemand - außer Schlangenöl, Linux und Brain 1.0 - Vorschläge?
Brain muss man im Grunde über sämtliche andere Maßnahmen setzen.
Man kann Windows auch ohne SRP und vor allen Dingen ohne Schlangenöl-Malware
recht gut konfigurieren, überwachen, analysieren und malwarefrei betreiben,
BTDT. Schlangenöl und Linux klammert man als Alternative somit zu Recht aus,
Brain auf keinen Fall.
Wer SRP nicht für sich selbst, sondern zur Versiegelung von DAU-Systemen
einsetzte, der hat allerdings anscheinend nun ein Problem.
Edit:
Man kann Windows auch ohne SRP und vor allen Dingen ohne Schlangenöl-Malware
recht gut konfigurieren, überwachen, analysieren und malwarefrei betreiben,
BTDT. Schlangenöl und Linux klammert man als Alternative somit zu Recht aus,
Brain auf keinen Fall.
Wer SRP nicht für sich selbst, sondern zur Versiegelung von DAU-Systemen
einsetzte, der hat allerdings anscheinend nun ein Problem.
https://learn.microsoft.com/de-de/windows/security/threat-protection/windows-defender-application-control/wdac-and-applocker-overview
https://learn.microsoft.com/de-de/windows/security/threat-protection/windows-defender-application-control/feature-availability
Christoph Schneegans
Nov 11, 2022, 5:09:23 PM11/11/22
to
Thomas Einzel schrieb:
> Was nun?
Bei Windows 10 bleiben? ;-)
Ich hatte mich vor kurzem mit Windows Defender Application Control
(WDAC) beschäftigt, das in allen Editionen von Windows 10 und 11
unterstützt wird. Mit diesem PowerShell-Code aktiviert man eine
"scharfe" Richtlinie aus einer Vorlage und gibt außerdem %ProgramFiles%
und %ProgramFiles(x86)% frei:
Set-StrictMode -Version Latest;
$ErrorActionPreference = 'Stop';
$example = "$env:windir\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Enforced.xml";
$xml = "$env:USERPROFILE\Desktop\wdac.xml";
Copy-Item -LiteralPath $example -Destination $xml;
$doc = [System.Xml.XmlDocument]::new();
$doc.Load( $xml );
$binary = "$env:windir\System32\CodeIntegrity\CIPolicies\Active\{0}.cip" -f $doc.SiPolicy.PolicyID; # Windows 11
# $binary = "$env:windir\System32\CodeIntegrity\SiPolicy.p7b"; # Windows 10
Merge-CIPolicy -PolicyPaths $xml -OutputFilePath $xml -Rules $(
@(
"%OSDrive%\Program Files\*";
"%OSDrive%\Program Files (x86)\*";
) | ForEach-Object {
New-CIPolicyRule -FilePathRule $_;
} | ForEach-Object {
$_;
}
) | Out-Null;
Set-RuleOption -FilePath $xml -Option 0; # Enabled:UMCI
Set-RuleOption -FilePath $xml -Option 6; # Enabled:Unsigned System Integrity Policy
Set-RuleOption -FilePath $xml -Option 9; # Enabled:Advanced Boot Options Menu
Set-RuleOption -FilePath $xml -Option 10; # Enabled:Boot Audit on Failure
Set-RuleOption -FilePath $xml -Option 18; # Disabled:Runtime FilePath Rule Protection
Set-RuleOption -FilePath $xml -Option 2 -Delete; # Required:WHQL
Set-RuleOption -FilePath $xml -Option 3 -Delete; # Enabled:Audit Mode
ConvertFrom-CIPolicy -XmlFilePath $xml -BinaryFilePath $binary;
%windir% gebe ich bewusst nicht frei – die Dateien darin sind ohnehin
alle signiert, und Microsofts Vorlage definiert etliche "Signer".
Neustart, fertig. Man beachte, dass WDAC auch Administratoren betrifft.
Man wird sich das ganze erst einmal gründlich in einer VM anschauen
wollen, bevor man es auf echte Systeme loslässt. Man schafft es nämlich
ziemlich schnell, dass Windows gar nicht mehr bootet.
Bislang gefällt mir WDAC in jeder Hinsicht weniger als SAFER.
--
<https://schneegans.de/online-blockade/> · GEZ-Websites blockieren
> Was nun?
Bei Windows 10 bleiben? ;-)
Ich hatte mich vor kurzem mit Windows Defender Application Control
(WDAC) beschäftigt, das in allen Editionen von Windows 10 und 11
unterstützt wird. Mit diesem PowerShell-Code aktiviert man eine
"scharfe" Richtlinie aus einer Vorlage und gibt außerdem %ProgramFiles%
und %ProgramFiles(x86)% frei:
Set-StrictMode -Version Latest;
$ErrorActionPreference = 'Stop';
$example = "$env:windir\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Enforced.xml";
$xml = "$env:USERPROFILE\Desktop\wdac.xml";
Copy-Item -LiteralPath $example -Destination $xml;
$doc = [System.Xml.XmlDocument]::new();
$doc.Load( $xml );
$binary = "$env:windir\System32\CodeIntegrity\CIPolicies\Active\{0}.cip" -f $doc.SiPolicy.PolicyID; # Windows 11
# $binary = "$env:windir\System32\CodeIntegrity\SiPolicy.p7b"; # Windows 10
Merge-CIPolicy -PolicyPaths $xml -OutputFilePath $xml -Rules $(
@(
"%OSDrive%\Program Files\*";
"%OSDrive%\Program Files (x86)\*";
) | ForEach-Object {
New-CIPolicyRule -FilePathRule $_;
} | ForEach-Object {
$_;
}
) | Out-Null;
Set-RuleOption -FilePath $xml -Option 0; # Enabled:UMCI
Set-RuleOption -FilePath $xml -Option 6; # Enabled:Unsigned System Integrity Policy
Set-RuleOption -FilePath $xml -Option 9; # Enabled:Advanced Boot Options Menu
Set-RuleOption -FilePath $xml -Option 10; # Enabled:Boot Audit on Failure
Set-RuleOption -FilePath $xml -Option 18; # Disabled:Runtime FilePath Rule Protection
Set-RuleOption -FilePath $xml -Option 2 -Delete; # Required:WHQL
Set-RuleOption -FilePath $xml -Option 3 -Delete; # Enabled:Audit Mode
ConvertFrom-CIPolicy -XmlFilePath $xml -BinaryFilePath $binary;
%windir% gebe ich bewusst nicht frei – die Dateien darin sind ohnehin
alle signiert, und Microsofts Vorlage definiert etliche "Signer".
Neustart, fertig. Man beachte, dass WDAC auch Administratoren betrifft.
Man wird sich das ganze erst einmal gründlich in einer VM anschauen
wollen, bevor man es auf echte Systeme loslässt. Man schafft es nämlich
ziemlich schnell, dass Windows gar nicht mehr bootet.
Bislang gefällt mir WDAC in jeder Hinsicht weniger als SAFER.
--
<https://schneegans.de/online-blockade/> · GEZ-Websites blockieren
Ruediger Lahl
Nov 11, 2022, 5:45:31 PM11/11/22
to
*Takvorian* schrieb:
> Thomas Einzel schrieb:
>> https://www.borncity.com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/
auch gereicht.
Angekündigt hatte das MS IMHO schon vor einem Jahr. da hat stefan das
noch lächelnd weggewischt. "Die werden es nicht mehr erweitern, aber
nicht ausbauen" oder so ähnlich...
Tja, der Ersatz dafür, IIRC "SmartScreen" ist online-abhängig und
arbeitet eher wie ein Defender, wenn man heise hier glauben schenkt.
https://youtu.be/blOJ91bCWts?t=1675
> Wer SRP nicht für sich selbst, sondern zur Versiegelung von DAU-Systemen
> einsetzte, der hat allerdings anscheinend nun ein Problem.
Auch, wer es für sich selbst einsetzt. Schließlich kann er sich selbst
auch als DAU einordnen. Für viele hier wird das eine Art Hängematte
"gewesen" sein.
Ich bin gespannt, was da jetzt von stefan kommt. Seinem safer wurde ja
faktisch der Boden unter den Arsch weggezogen. :-) Wahrscheinlich sucht
er gerade fieberhaft im Netz nach einem reg-Schalter, der SRPs wieder in
Gang setzt. Solche Ausnahme-Schalter funktionieren in der Regel aber nur
noch kurzzeitig. Weis stefan natürlich... ;-)
--
bis denne
> Thomas Einzel schrieb:
>> https://www.borncity.com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/
>> https://skanthak.homepage.t-online.de/download/NTX_SAFER.INF
>
> Dito, hier auch.
>
>> Die Test Vm war eine Testversion von Win 11 22H2 Enterprise, d.h.
>> AppLocker sollte funktionieren. Ich habe eine alte Version einer
>> applocker-default-policy.xml (die mir Christoph Schneegans mal vor
>> langer Zeit freundlicherweise zum testen geschickt hat) importieren -
>> die .exe aus dem Testordner wurde geblockt.
>>
>> Was nun?
>> Hat jemand - außer Schlangenöl, Linux und Brain 1.0 - Vorschläge?
>
> Brain muss man im Grunde über sämtliche andere Maßnahmen setzen.
> Man kann Windows auch ohne SRP und vor allen Dingen ohne Schlangenöl-Malware
> recht gut konfigurieren, überwachen, analysieren und malwarefrei betreiben,
> BTDT. Schlangenöl und Linux klammert man als Alternative somit zu Recht aus,
> Brain auf keinen Fall.
Nun wollte Thomas aber die Lösung auch ohne Brain 1.0. Dafür hätte safer
>
> Dito, hier auch.
>
>> Die Test Vm war eine Testversion von Win 11 22H2 Enterprise, d.h.
>> AppLocker sollte funktionieren. Ich habe eine alte Version einer
>> applocker-default-policy.xml (die mir Christoph Schneegans mal vor
>> langer Zeit freundlicherweise zum testen geschickt hat) importieren -
>> die .exe aus dem Testordner wurde geblockt.
>>
>> Was nun?
>> Hat jemand - außer Schlangenöl, Linux und Brain 1.0 - Vorschläge?
>
> Brain muss man im Grunde über sämtliche andere Maßnahmen setzen.
> Man kann Windows auch ohne SRP und vor allen Dingen ohne Schlangenöl-Malware
> recht gut konfigurieren, überwachen, analysieren und malwarefrei betreiben,
> BTDT. Schlangenöl und Linux klammert man als Alternative somit zu Recht aus,
> Brain auf keinen Fall.
auch gereicht.
Angekündigt hatte das MS IMHO schon vor einem Jahr. da hat stefan das
noch lächelnd weggewischt. "Die werden es nicht mehr erweitern, aber
nicht ausbauen" oder so ähnlich...
Tja, der Ersatz dafür, IIRC "SmartScreen" ist online-abhängig und
arbeitet eher wie ein Defender, wenn man heise hier glauben schenkt.
https://youtu.be/blOJ91bCWts?t=1675
> Wer SRP nicht für sich selbst, sondern zur Versiegelung von DAU-Systemen
> einsetzte, der hat allerdings anscheinend nun ein Problem.
auch als DAU einordnen. Für viele hier wird das eine Art Hängematte
"gewesen" sein.
Ich bin gespannt, was da jetzt von stefan kommt. Seinem safer wurde ja
faktisch der Boden unter den Arsch weggezogen. :-) Wahrscheinlich sucht
er gerade fieberhaft im Netz nach einem reg-Schalter, der SRPs wieder in
Gang setzt. Solche Ausnahme-Schalter funktionieren in der Regel aber nur
noch kurzzeitig. Weis stefan natürlich... ;-)
--
bis denne
Thomas Einzel
Nov 11, 2022, 7:31:12 PM11/11/22
to
Am 11.11.2022 um 23:09 schrieb Christoph Schneegans:
> Thomas Einzel schrieb:
>
>> Was nun?
>
> Bei Windows 10 bleiben? ;-)
Mache ich ja, aber Microsofts Plan ist der 14. Okt. 2025. Vorausgesetzt
> Thomas Einzel schrieb:
>
>> Was nun?
>
> Bei Windows 10 bleiben? ;-)
ein Win 10 Upgrade setzt SRP nicht auch noch bei Windows 10 vorher außer
Kraft.
> Ich hatte mich vor kurzem mit Windows Defender Application Control
> (WDAC) beschäftigt, das in allen Editionen von Windows 10 und 11
[Beschreibung]
> Bislang gefällt mir WDAC in jeder Hinsicht weniger als SAFER.
Als Privatmensch kann man weder Enterprise noch Education kaufen, nur an
Geldgier allein scheint es also nicht zu liegen.
Ich habe gerade beim suchen einen Beitrag gefunden, dass man eventuell
AppLocker auch unterhalb Enterprise/Edu per Powershell aktivieren könnte
https://administrator.de/knowledge/applocker-auf-win10-oder-11-home-so-geht-es-1647775851.html
--
Thomas
Takvorian
Nov 12, 2022, 3:30:18 AM11/12/22
to
Ruediger Lahl schrieb:
> *Takvorian* schrieb:
>
>> Thomas Einzel schrieb:
>>> https://www.borncity.com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/
>>> https://skanthak.homepage.t-online.de/download/NTX_SAFER.INF
>>
>> Dito, hier auch.
>>
>>> Die Test Vm war eine Testversion von Win 11 22H2 Enterprise, d.h.
>>> AppLocker sollte funktionieren. Ich habe eine alte Version einer
>>> applocker-default-policy.xml (die mir Christoph Schneegans mal vor
>>> langer Zeit freundlicherweise zum testen geschickt hat) importieren -
>>> die .exe aus dem Testordner wurde geblockt.
>>>
>>> Was nun?
>>> Hat jemand - außer Schlangenöl, Linux und Brain 1.0 - Vorschläge?
>>
>> Brain muss man im Grunde über sämtliche andere Maßnahmen setzen.
>> Man kann Windows auch ohne SRP und vor allen Dingen ohne Schlangenöl-Malware
>> recht gut konfigurieren, überwachen, analysieren und malwarefrei betreiben,
>> BTDT. Schlangenöl und Linux klammert man als Alternative somit zu Recht aus,
>> Brain auf keinen Fall.
>
> Nun wollte Thomas aber die Lösung auch ohne Brain 1.0. Dafür hätte safer
> auch gereicht.
Den SRP-Ersatz hatte ich ja gepostet:
https://learn.microsoft.com/de-de/windows/security/threat-protection/windows-defender-application-control/wdac-and-applocker-overview
https://learn.microsoft.com/de-de/windows/security/threat-protection/windows-defender-application-control/feature-availability
Ergänzend:
https://4sysops.com/archives/enable-applocker-on-windows-10-pro-and-windows-11-pro-with-powershell/
usw...
> Angekündigt hatte das MS IMHO schon vor einem Jahr. da hat stefan das
> noch lächelnd weggewischt. "Die werden es nicht mehr erweitern, aber
> nicht ausbauen" oder so ähnlich...
>
> Tja, der Ersatz dafür, IIRC "SmartScreen" ist online-abhängig und
> arbeitet eher wie ein Defender, wenn man heise hier glauben schenkt.
> https://youtu.be/blOJ91bCWts?t=1675
Nö, den Ersatz sieht Microsoft in WDAC und Applocker, WDAG gibt's ebenfalls.
SmartScreen gehört eher in die Abteilung Schlangenöl.
>> Wer SRP nicht für sich selbst, sondern zur Versiegelung von DAU-Systemen
>> einsetzte, der hat allerdings anscheinend nun ein Problem.
>
> Auch, wer es für sich selbst einsetzt. Schließlich kann er sich selbst
> auch als DAU einordnen. Für viele hier wird das eine Art Hängematte
> "gewesen" sein.
Die Masse der User sieht in ihrem Schlangenöl die "Hängematte". Leute, die
SRP einsetzen, sind doch eher seltene Ausnahmen, die zudem in der Lage sein
werden, auf WDAC/Applocker umsteigen zu können.
> Ich bin gespannt, was da jetzt von stefan kommt. Seinem safer wurde ja
> faktisch der Boden unter den Arsch weggezogen. :-) Wahrscheinlich sucht
> er gerade fieberhaft im Netz nach einem reg-Schalter, der SRPs wieder in
> Gang setzt. Solche Ausnahme-Schalter funktionieren in der Regel aber nur
> noch kurzzeitig. Weis stefan natürlich... ;-)
Ging mir auch schon durch den Kopf. Wäre nett, wenn es sich durch
irgendeinen zusätzlichen Reg-Eintrag wieder aktivieren ließe. Würde mich
aber wundern.
> *Takvorian* schrieb:
>
>> Thomas Einzel schrieb:
>>> https://www.borncity.com/blog/2022/11/08/windows-11-22h2-untersttzt-keine-software-restriction-policies-srp-mehr/
>>> https://skanthak.homepage.t-online.de/download/NTX_SAFER.INF
>>
>> Dito, hier auch.
>>
>>> Die Test Vm war eine Testversion von Win 11 22H2 Enterprise, d.h.
>>> AppLocker sollte funktionieren. Ich habe eine alte Version einer
>>> applocker-default-policy.xml (die mir Christoph Schneegans mal vor
>>> langer Zeit freundlicherweise zum testen geschickt hat) importieren -
>>> die .exe aus dem Testordner wurde geblockt.
>>>
>>> Was nun?
>>> Hat jemand - außer Schlangenöl, Linux und Brain 1.0 - Vorschläge?
>>
>> Brain muss man im Grunde über sämtliche andere Maßnahmen setzen.
>> Man kann Windows auch ohne SRP und vor allen Dingen ohne Schlangenöl-Malware
>> recht gut konfigurieren, überwachen, analysieren und malwarefrei betreiben,
>> BTDT. Schlangenöl und Linux klammert man als Alternative somit zu Recht aus,
>> Brain auf keinen Fall.
>
> Nun wollte Thomas aber die Lösung auch ohne Brain 1.0. Dafür hätte safer
> auch gereicht.
https://learn.microsoft.com/de-de/windows/security/threat-protection/windows-defender-application-control/wdac-and-applocker-overview
https://learn.microsoft.com/de-de/windows/security/threat-protection/windows-defender-application-control/feature-availability
Ergänzend:
https://4sysops.com/archives/enable-applocker-on-windows-10-pro-and-windows-11-pro-with-powershell/
usw...
> Angekündigt hatte das MS IMHO schon vor einem Jahr. da hat stefan das
> noch lächelnd weggewischt. "Die werden es nicht mehr erweitern, aber
> nicht ausbauen" oder so ähnlich...
>
> Tja, der Ersatz dafür, IIRC "SmartScreen" ist online-abhängig und
> arbeitet eher wie ein Defender, wenn man heise hier glauben schenkt.
> https://youtu.be/blOJ91bCWts?t=1675
SmartScreen gehört eher in die Abteilung Schlangenöl.
>> Wer SRP nicht für sich selbst, sondern zur Versiegelung von DAU-Systemen
>> einsetzte, der hat allerdings anscheinend nun ein Problem.
>
> Auch, wer es für sich selbst einsetzt. Schließlich kann er sich selbst
> auch als DAU einordnen. Für viele hier wird das eine Art Hängematte
> "gewesen" sein.
SRP einsetzen, sind doch eher seltene Ausnahmen, die zudem in der Lage sein
werden, auf WDAC/Applocker umsteigen zu können.
> Ich bin gespannt, was da jetzt von stefan kommt. Seinem safer wurde ja
> faktisch der Boden unter den Arsch weggezogen. :-) Wahrscheinlich sucht
> er gerade fieberhaft im Netz nach einem reg-Schalter, der SRPs wieder in
> Gang setzt. Solche Ausnahme-Schalter funktionieren in der Regel aber nur
> noch kurzzeitig. Weis stefan natürlich... ;-)
irgendeinen zusätzlichen Reg-Eintrag wieder aktivieren ließe. Würde mich
aber wundern.
Stefan Kanthak
Nov 12, 2022, 3:54:57 AM11/12/22
to
"Christoph Schneegans" <chri...@schneegans.de> schrieb:
> Thomas Einzel schrieb:
>
>> Was nun?
>
> Bei Windows 10 bleiben? ;-)
AMEN!
[ Windows Defender Application Control (WDAC) ]
> %windir% gebe ich bewusst nicht frei - die Dateien darin sind ohnehin
Benutzerprofil gekuebelte SCHROTT wie Teams (IGITT!) oder OneDrive.
Sollten Signaturregeln (wie bei SAFER/AppLocker) Vorrang vor Pfadregeln
haben, denn liesse sich dieses UEBLE DREXZEUX auch nicht mehr mit einer
expliziten Verbotsregel fuer %SystemDrive%\Users\ bzw. %USERPROFILE%,
%LOCALAPPDATA%, %APPDATA%, %TEMP% etc. (d.h. umleitbare Verzeichnisse)
blockieren.
> Bislang gefällt mir WDAC in jeder Hinsicht weniger als SAFER.
Dito. Allerdings ist es weniger schlimm als AppLocker.
Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
> Thomas Einzel schrieb:
>
>> Was nun?
>
> Bei Windows 10 bleiben? ;-)
[ Windows Defender Application Control (WDAC) ]
> %windir% gebe ich bewusst nicht frei - die Dateien darin sind ohnehin
> alle signiert, und Microsofts Vorlage definiert etliche "Signer".
Wegen Letzteren laeuft der von den VOLLIDIOTEN aus Redmond in JEDES
Benutzerprofil gekuebelte SCHROTT wie Teams (IGITT!) oder OneDrive.
Sollten Signaturregeln (wie bei SAFER/AppLocker) Vorrang vor Pfadregeln
haben, denn liesse sich dieses UEBLE DREXZEUX auch nicht mehr mit einer
expliziten Verbotsregel fuer %SystemDrive%\Users\ bzw. %USERPROFILE%,
%LOCALAPPDATA%, %APPDATA%, %TEMP% etc. (d.h. umleitbare Verzeichnisse)
blockieren.
> Bislang gefällt mir WDAC in jeder Hinsicht weniger als SAFER.
Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
Takvorian
Nov 12, 2022, 1:28:53 PM11/12/22
to
Christoph Schneegans schrieb:
> Bei Windows 10 bleiben? ;-)
Ist wohl keine Alternative, denn auch in Win 10 22H2 werden nun Probleme mit
SRP gemeldet.
> Bei Windows 10 bleiben? ;-)
SRP gemeldet.
Christoph Schneegans
Nov 12, 2022, 2:51:56 PM11/12/22
to
Stefan Kanthak schrieb:
> [ Windows Defender Application Control (WDAC) ]
>
>> %windir% gebe ich bewusst nicht frei - die Dateien darin sind ohnehin
>> alle signiert, und Microsofts Vorlage definiert etliche "Signer".
>
> Wegen Letzteren laeuft der von den VOLLIDIOTEN aus Redmond in JEDES
> Benutzerprofil gekuebelte SCHROTT wie Teams (IGITT!) oder OneDrive.
Teams ist unter Windows 11 eine (vorinstallierte) Store-App.
%LOCALAPPDATA%\Microsoft\OneDrive\OneDrive.exe existiert aber auch in
Windows 11.
> Sollten Signaturregeln (wie bei SAFER/AppLocker) Vorrang vor Pfadregeln
> haben, denn liesse sich dieses UEBLE DREXZEUX auch nicht mehr mit einer
> expliziten Verbotsregel fuer %SystemDrive%\Users\ bzw. %USERPROFILE%,
> %LOCALAPPDATA%, %APPDATA%, %TEMP% etc. (d.h. umleitbare Verzeichnisse)
> blockieren.
Sowohl
New-CIPolicyRule -Deny -FilePathRule "%OSDrive%\Users\*";
als auch
New-CIPolicyRule -Deny -FilePathRule "OneDrive.exe";
blockieren OneDrive.exe;
New-CIPolicyRule -Deny -FilePathRule "%OSDrive%\Program Files\WindowsApps\MicrosoftTeams*";
blockiert Teams.
> [ Windows Defender Application Control (WDAC) ]
>
>> %windir% gebe ich bewusst nicht frei - die Dateien darin sind ohnehin
>> alle signiert, und Microsofts Vorlage definiert etliche "Signer".
>
> Wegen Letzteren laeuft der von den VOLLIDIOTEN aus Redmond in JEDES
> Benutzerprofil gekuebelte SCHROTT wie Teams (IGITT!) oder OneDrive.
%LOCALAPPDATA%\Microsoft\OneDrive\OneDrive.exe existiert aber auch in
Windows 11.
> Sollten Signaturregeln (wie bei SAFER/AppLocker) Vorrang vor Pfadregeln
> haben, denn liesse sich dieses UEBLE DREXZEUX auch nicht mehr mit einer
> expliziten Verbotsregel fuer %SystemDrive%\Users\ bzw. %USERPROFILE%,
> %LOCALAPPDATA%, %APPDATA%, %TEMP% etc. (d.h. umleitbare Verzeichnisse)
> blockieren.
New-CIPolicyRule -Deny -FilePathRule "%OSDrive%\Users\*";
als auch
New-CIPolicyRule -Deny -FilePathRule "OneDrive.exe";
blockieren OneDrive.exe;
New-CIPolicyRule -Deny -FilePathRule "%OSDrive%\Program Files\WindowsApps\MicrosoftTeams*";
blockiert Teams.
Stefan Kanthak
Nov 12, 2022, 5:20:27 PM11/12/22
to
"Christoph Schneegans" <chri...@schneegans.de> schrieb:
> Stefan Kanthak schrieb:
>
>> [ Windows Defender Application Control (WDAC) ]
>>
>>> %windir% gebe ich bewusst nicht frei - die Dateien darin sind ohnehin
>>> alle signiert, und Microsofts Vorlage definiert etliche "Signer".
>>
>> Wegen Letzteren laeuft der von den VOLLIDIOTEN aus Redmond in JEDES
>> Benutzerprofil gekuebelte SCHROTT wie Teams (IGITT!) oder OneDrive.
>
> Teams ist unter Windows 11 eine (vorinstallierte) Store-App.
Dann muesste sie (spaetestens waehrend der Installation vor der ersten
Benutzeranmeldung, z.B. per SetupComplete.cmd) deprovisioniert werden
koennen.
--- SetupComplete.cmd ---
Rem Copyright © 2009-2022, Stefan Kanthak <stefan....@nexgo.de>
Rem Prevent accidental execution
If Not "%USERNAME%" == "SYSTEM" Exit /B
If /I Not "%USERPROFILE%" == "%SystemRoot%\System32\Config\SystemProfile" Exit /B
If /I Not "%~f0" == "%SystemRoot%\Setup\Scripts\SetupComplete.Cmd" Exit /B
Call :REDIRECT %* 0<NUL: 1>"%SystemRoot%\Setup\Scripts\SetupComplete.Out" 2>"%SystemRoot%\Setup\Scripts\SetupComplete.Err"
Exit /B
:REDIRECT
Rem Remove provisioned apps
"%SystemRoot%\System32\DISM.Exe" /Online /Get-ProvisionedAppxPackages /Format:Table | "%SystemRoot%\System32\FindStr.Exe" /B
/C:"PackageName: " 1>"%SystemRoot%\Setup\Scripts\SetupComplete.Tmp"
For /F "Tokens=2 UseBackQ" %%? In ("%SystemRoot%\Setup\Scripts\SetupComplete.Tmp") Do "%SystemRoot%\System32\DISM.Exe" /Online
/Remove-ProvisionedAppxPackage /PackageName:%%?
RmDir "%SystemRoot%\System32\Microsoft\Crypto\RSA\MachineKeys"
Rem Disable offer for permanent ACL change on inaccessible directories in 'File Explorer' (KB950934)
For %%? In ("%SystemRoot%\Security\Audit"
"%SystemRoot%\ServiceProfiles\LocalService"
"%SystemRoot%\ServiceProfiles\NetworkService"
"%SystemRoot%\SystemTemp"
"%SystemRoot%\Temp") Do "%SystemRoot%\System32\Attrib.Exe" +H +R +S "%%?"
For %%? In ("%SystemRoot%\SystemTemp"
"%SystemRoot%\Temp") Do ("%SystemRoot%\System32\CACLs.Exe" "%%?" /S
Rem "%SystemRoot%\System32\ICACLs.Exe" "%%?" /Deny *S-1-1-0:(IO)(OI)(X))
--- EOF ---
> %LOCALAPPDATA%\Microsoft\OneDrive\OneDrive.exe existiert aber auch in
> Windows 11.
Das wird von dem bei jeder Benutzeranmeldung mit neuem Profil gestarteten
%SystemRoot%\SysWoW64\OneDriveSetup.exe dorthin gerotzt.
Abhilfe ohne SAFER/AppLocker/WDAC: diese Datei per SetupComplete.cmd
loeschen, und fuer den Fall, dass sie von einem Update wiederhergestellt
werden sollte, den Registry-Eintrag im "RunOnce"-Schluessel des Default-
Benutzerprofils loeschen.
Abhilfe mit SAFER/AppLocker/WDAC: diese Datei per Pfadregel blockieren.
Ob die von den Spezial-Eksperten mitgelieferte Leiche
"%SystemRoot%\System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-506450434-4066129981-3206064658-500"
noch Unheil anrichtet weiss ich nicht mehr...
>> Sollten Signaturregeln (wie bei SAFER/AppLocker) Vorrang vor Pfadregeln
>> haben, denn liesse sich dieses UEBLE DREXZEUX auch nicht mehr mit einer
>> expliziten Verbotsregel fuer %SystemDrive%\Users\ bzw. %USERPROFILE%,
>> %LOCALAPPDATA%, %APPDATA%, %TEMP% etc. (d.h. umleitbare Verzeichnisse)
>> blockieren.
>
> Sowohl
>
> New-CIPolicyRule -Deny -FilePathRule "%OSDrive%\Users\*";
>
> als auch
>
> New-CIPolicyRule -Deny -FilePathRule "OneDrive.exe";
>
> blockieren OneDrive.exe;
>
> New-CIPolicyRule -Deny -FilePathRule "%OSDrive%\Program Files\WindowsApps\MicrosoftTeams*";
>
> blockiert Teams.
SCHOEHOEHOEN!
Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
> Stefan Kanthak schrieb:
>
>> [ Windows Defender Application Control (WDAC) ]
>>
>>> %windir% gebe ich bewusst nicht frei - die Dateien darin sind ohnehin
>>> alle signiert, und Microsofts Vorlage definiert etliche "Signer".
>>
>> Wegen Letzteren laeuft der von den VOLLIDIOTEN aus Redmond in JEDES
>> Benutzerprofil gekuebelte SCHROTT wie Teams (IGITT!) oder OneDrive.
>
> Teams ist unter Windows 11 eine (vorinstallierte) Store-App.
Benutzeranmeldung, z.B. per SetupComplete.cmd) deprovisioniert werden
koennen.
--- SetupComplete.cmd ---
Rem Copyright © 2009-2022, Stefan Kanthak <stefan....@nexgo.de>
Rem Prevent accidental execution
If Not "%USERNAME%" == "SYSTEM" Exit /B
If /I Not "%USERPROFILE%" == "%SystemRoot%\System32\Config\SystemProfile" Exit /B
If /I Not "%~f0" == "%SystemRoot%\Setup\Scripts\SetupComplete.Cmd" Exit /B
Call :REDIRECT %* 0<NUL: 1>"%SystemRoot%\Setup\Scripts\SetupComplete.Out" 2>"%SystemRoot%\Setup\Scripts\SetupComplete.Err"
Exit /B
:REDIRECT
Rem Remove provisioned apps
"%SystemRoot%\System32\DISM.Exe" /Online /Get-ProvisionedAppxPackages /Format:Table | "%SystemRoot%\System32\FindStr.Exe" /B
/C:"PackageName: " 1>"%SystemRoot%\Setup\Scripts\SetupComplete.Tmp"
For /F "Tokens=2 UseBackQ" %%? In ("%SystemRoot%\Setup\Scripts\SetupComplete.Tmp") Do "%SystemRoot%\System32\DISM.Exe" /Online
/Remove-ProvisionedAppxPackage /PackageName:%%?
RmDir "%SystemRoot%\System32\Microsoft\Crypto\RSA\MachineKeys"
Rem Disable offer for permanent ACL change on inaccessible directories in 'File Explorer' (KB950934)
For %%? In ("%SystemRoot%\Security\Audit"
"%SystemRoot%\ServiceProfiles\LocalService"
"%SystemRoot%\ServiceProfiles\NetworkService"
"%SystemRoot%\SystemTemp"
"%SystemRoot%\Temp") Do "%SystemRoot%\System32\Attrib.Exe" +H +R +S "%%?"
For %%? In ("%SystemRoot%\SystemTemp"
"%SystemRoot%\Temp") Do ("%SystemRoot%\System32\CACLs.Exe" "%%?" /S
Rem "%SystemRoot%\System32\ICACLs.Exe" "%%?" /Deny *S-1-1-0:(IO)(OI)(X))
--- EOF ---
> %LOCALAPPDATA%\Microsoft\OneDrive\OneDrive.exe existiert aber auch in
> Windows 11.
%SystemRoot%\SysWoW64\OneDriveSetup.exe dorthin gerotzt.
Abhilfe ohne SAFER/AppLocker/WDAC: diese Datei per SetupComplete.cmd
loeschen, und fuer den Fall, dass sie von einem Update wiederhergestellt
werden sollte, den Registry-Eintrag im "RunOnce"-Schluessel des Default-
Benutzerprofils loeschen.
Abhilfe mit SAFER/AppLocker/WDAC: diese Datei per Pfadregel blockieren.
Ob die von den Spezial-Eksperten mitgelieferte Leiche
"%SystemRoot%\System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-506450434-4066129981-3206064658-500"
noch Unheil anrichtet weiss ich nicht mehr...
>> Sollten Signaturregeln (wie bei SAFER/AppLocker) Vorrang vor Pfadregeln
>> haben, denn liesse sich dieses UEBLE DREXZEUX auch nicht mehr mit einer
>> expliziten Verbotsregel fuer %SystemDrive%\Users\ bzw. %USERPROFILE%,
>> %LOCALAPPDATA%, %APPDATA%, %TEMP% etc. (d.h. umleitbare Verzeichnisse)
>> blockieren.
>
> Sowohl
>
> New-CIPolicyRule -Deny -FilePathRule "%OSDrive%\Users\*";
>
> als auch
>
> New-CIPolicyRule -Deny -FilePathRule "OneDrive.exe";
>
> blockieren OneDrive.exe;
>
> New-CIPolicyRule -Deny -FilePathRule "%OSDrive%\Program Files\WindowsApps\MicrosoftTeams*";
>
> blockiert Teams.
Stefan
--
<https://www.duden.de/rechtschreibung/Kanthaken>
Ruediger Lahl
Nov 12, 2022, 5:34:20 PM11/12/22
to
*Takvorian* schrieb:
Stefan wird da bestimmt für safer neue Wege finden.
--
bis denne
--
bis denne
Thomas Einzel
Feb 10, 2023, 1:34:00 PM2/10/23
to
https://4sysops.com/archives/enable-applocker-on-windows-10-pro-and-windows-11-pro-with-powershell/
beim suchen zufällig über den Weg gelaufen, bei
"...UPDATE: since build 22H2, Applocker works on Win10/11 Pro without
needing my script. As it seems, Microsoft has changed its mind after
all...."
war ich plötzlich hellwach.
Neue VM Win 11 *pro* 22H2 (von der original Microsoft ISO).
Erwartungsgemäß war Stefans ntx_safer.inf leider wirkungslos, aber
Applocker (mit den oben erwähnten alten Regeln von Christoph Schneegans)
*funktioniert* !!1elf
Applocker mit W11 pro 22H2 - Versehen oder Absicht?
AFAIK ist Applocker der moderne Nachfolger von SRP. Wenn das so
dauerhaft funktioniert, wäre es IMO genau die passende
Sicherheits-Nachfolgelösung.
Jetzt wäre es praktisch, eine zu importierende xml für Applocker zu
haben, die (im wesentlichen) der ntx_safer.inf entspricht, um es weiter
testen zu können.
Meinungen, Ideen, Erfahrungen,...?
--
Thomas
Takvorian
Feb 10, 2023, 3:30:20 PM2/10/23
to
Thomas Einzel schrieb:
> Applocker mit W11 pro 22H2 - Versehen oder Absicht?
Sicher kein Versehen. Was da mit SRP und Applocker getrieben wurde, ist eher
unverschämte, hinterhältige Geheimniskrämerei. Für die Masse zwar völlig
irrelevant, aber ein kleiner Kreis legt ja hohen Wert darauf.
> Applocker mit W11 pro 22H2 - Versehen oder Absicht?
unverschämte, hinterhältige Geheimniskrämerei. Für die Masse zwar völlig
irrelevant, aber ein kleiner Kreis legt ja hohen Wert darauf.
Christoph Schneegans
Feb 11, 2023, 3:42:02 PM2/11/23
to
Thomas Einzel schrieb:
> Applocker mit W11 pro 22H2 - Versehen oder Absicht?
Tut in meinen Tests unter Windows 10 und 11, jeweils Pro und 22H2.
Keine Ahnung, was ich davon halten soll. Ich verwende nun jedenfalls
erst einmal WDAC.
--
<https://schneegans.de/windows/wdac-generator/> · WDAC-Richtlinie erzeugen
> Applocker mit W11 pro 22H2 - Versehen oder Absicht?
Keine Ahnung, was ich davon halten soll. Ich verwende nun jedenfalls
erst einmal WDAC.
--
<https://schneegans.de/windows/wdac-generator/> · WDAC-Richtlinie erzeugen
Thomas Einzel
Feb 12, 2023, 4:54:41 AM2/12/23
to
Am 11.02.2023 um 21:41 schrieb Christoph Schneegans:
> Thomas Einzel schrieb:
>
>> Applocker mit W11 pro 22H2 - Versehen oder Absicht?
>
> Tut in meinen Tests unter Windows 10 und 11, jeweils Pro und 22H2.
>
> Keine Ahnung, was ich davon halten soll. Ich verwende nun jedenfalls
> erst einmal WDAC.
Ja, ich habe die Diskussion zwischen dir und Stefan im November
> Thomas Einzel schrieb:
>
>> Applocker mit W11 pro 22H2 - Versehen oder Absicht?
>
> Tut in meinen Tests unter Windows 10 und 11, jeweils Pro und 22H2.
>
> Keine Ahnung, was ich davon halten soll. Ich verwende nun jedenfalls
> erst einmal WDAC.
verfolgt, danke, dass ihr euch Gedanken macht.
IMO ist Applocker SRP ähnlicher und wenigstens ansatzweise
verständlich(er). WDAC wäre eine andere Welt, da tue mir noch schwerer
das zu verstehen.
Ich würde ja wenigstens gern Anpassungen in einem Regelwerk vornehmen
können (so wie die bösen Überraschungen in
%windir%\System32\DriverStore\FileRepository bei ntx_safer.inf bei Core
i Prozessoren mit integrierten Grafiken ab 6. Gen). Da sieht mir eine
xml für den Applocker Import für eigene Anpassungen etwas verständlicher
aus.
Wenn Applocker in Win 1X Pro 22H2+ dauerhaft funktioniert, erhoffe ich
mir eine doch höhere Verbreitung und Verwendung von Applocker. Ein
kleiner Lichtblick für die Anwendung von Win 11 22H2+ abseits vom
Schlangenöleinsatz oder Brain x.y ...
--
Thomas
Christoph Schneegans
Feb 13, 2023, 9:33:20 AM2/13/23
to
Thomas Einzel schrieb:
> Ja, ich habe die Diskussion zwischen dir und Stefan im November
> verfolgt, danke, dass ihr euch Gedanken macht.
Hast du dir denn https://schneegans.de/windows/wdac-policy-generator/
schon mal angeschaut? Du kannst insbesondere sehr bequem eigene Datei-,
Pfad-, Publisher- und Hash-Regeln für eine WDAC-Richtlinie erzeugen.
--
<https://schneegans.de/windows/no-8.3/> · Windows ohne PROGRA~1
> Ja, ich habe die Diskussion zwischen dir und Stefan im November
> verfolgt, danke, dass ihr euch Gedanken macht.
schon mal angeschaut? Du kannst insbesondere sehr bequem eigene Datei-,
Pfad-, Publisher- und Hash-Regeln für eine WDAC-Richtlinie erzeugen.
--
<https://schneegans.de/windows/no-8.3/> · Windows ohne PROGRA~1
0 new messages