AppLocker unter Windows 10 / 11 Professional?

Eventlog auf Windows 10 Professional mit AppLocker
Eventlog auf Windows 10 Professional mit AppLocker

Bei einem kleinen „Hoppala“ habe ich gestern festgestellt, dass die Professional SKUs von Windows 10 und Windows 11 anscheinend seit dem Oktober 2022 Patchday AppLocker Policies übernehmen und auch anwenden.

UPDATE 28.02.2023: Microsoft hat am 22.02.2023 die KB Artikel (KB5024351 – Entfernen von Windows-Editionsprüfungen für AppLocker – Microsoft-Support / Requirements to use AppLocker (Windows) | Microsoft Learn) aktualisiert und dort bekannt gegeben, dass der Versions- bzw. SKU-Check seit dem September Patchday in Windows 10 und Windows 11 für AppLocker entfällt!

In einer Testumgebung brauchte ich ein Client Betriebssystem, welches schnell in einer Hyper-V VM in Form von Windows 10 Professional 22H2 installiert war. Nachdem die Windows 10 VM dann gepatched war, passierte das „Hoppala“: Die VM wurde in die Domäne aufgenommen und versehentlich in eine Organisationseinheit verschoben, welche eine AppLocker Policy verlinkt hatte, sowie neu gestartet. Danach staunte ich nicht schlecht als ich die gute, alte PowerShell nicht starten durfte.

Windows 10 und 11 Professional AppLocker blockt PowerShell
Windows 10 und 11 Professional AppLocker blockt PowerShell

An dieser Stelle war ein wenig Neugier geweckt und ich wollte wissen, seit wann eine Professional SKU die AppLocker Richtlinien anwendet. Kurzum wurde eine neue Win 10 22H2 VM aufgesetzt und ungepatched in die Domain aufgenommen. Hier meldete die Ereignisanzeige auch nach mehreren Neustarts die Event ID „8008 – appidsvc.dll: AppLocker component not available on this SKU.“ Im nächsten Step habe ich das erste verfügbare Windows Update für 22H2 (October 28, 2022—KB5020953 (OS Builds 19042.2194, 19043.2194, 19044.2194, and 19045.2194) Out-of-band – Microsoft Support) heruntergeladen, installiert und „Glück gehabt“. Nach dem Reboot wurde die Event ID „8001 – The AppLocker policy was applied successfully to this computer.“ protokolliert und die Einschränkungen durch AppLocker angewandt. Very nice!

Folgende Windows 10 und Windows 11 Builds – die fett geschriebenen sind die derzeit aktuellsten – habe ich ebenfalls erfolgreich testen können bzw. teste ich hier (laufend) weiter:

  • Alle Windows 10 2004 und neuer Builds sowie alle Windows 11 Builds ab dem Patchday 30. September 2022
  • Windows 10 Professional 21H2 mit Oktober 2022 Patch
  • Windows 10 Professional 21H1 aktuell gepatched (Dezember 2022)
  • Windows 10 Professional 22H2 mit Oktober Updates 2022-10 (Build 22621.674)
  • Windows 10 Professional 22H2 mit Dezember Updates 2022-12 (Build 19045.2364)
  • Windows 10 Professional 22H2 mit Januar Patchday 2023-01 (Build 19045.2486)
  • Windows 10 Professional 22H2 mit Februar Patchday 2023-02 (Build 19045.2604)
  • Windows 11 Professional 22H2 mit Patchday Dezember 2022 (Build 22621.963)
  • Windows 11 Professional 22H2 mit Patchday Januar 2023-01 (Build 22621.1105)
  • Windows 11 Professional 22H2 mit Patchday Februar 2023-02 (Build 22621.1265)
  • Windows 11 Professional 22H2 Insider Developer Build 25272.1000
  • Windows 11 Professional 22H2 Insider Developer Build 25290.1000 (vom 01.02.2023)
  • Windows 11 Professional 22H2 Insider Developer Build 25295.1000 (vom 09.02.2023)

Ein Blick in die Systemanforderungen von AppLocker (Requirements to use AppLocker (Windows) | Microsoft Learn) beschreibt weiterhin, dass die Verwaltung per Gruppenrichtlinien ausschließlich den Windows Enterprise allen Windows 10 / 11 Client OS SKUs ab dem September Patchday 2022 sowie den Server Betriebssystemen vorgesehen ist:

You can use the AppLocker CSP to configure AppLocker policies on any edition of Windows 10 and Windows 11 supported by Mobile Device Management (MDM). You can only manage AppLocker with Group Policy on devices running Windows 10 and Windows 11 Enterprise, Windows 10 and Windows 11 Education, and Windows Server 2016.

Policies are supported on all editions Windows 10 version 2004 and newer with KB 5024351.
Windows versions older than version 2004, including Windows Server 2019:
– Policies deployed through GP are only supported on Enterprise and Server editions.
– Policies deployed through MDM are supported on all editions.

Requirements to use AppLocker (Windows) | Microsoft Learn

Und zum Schluss? Die große(?) Frage:

  • Ist das ein Bug, der später / bald gefixed wird?
  • –> Wird AppLocker unter den Professional SKUs demnächst freigegeben? <–
    AppLocker in Windows 10 und 11 Professional
  • Ist es eine Grauzone und niemand weiß Genaues?
  • Ist es / Wird es ein „Feature“, das mit Professional SKU technisch funktioniert und in späteren Lizenz-Audits gibt es auf den Deckel?

Wir werden sehen… Hoffentlich:

KB5024351 – Entfernen von Windows-Editionsprüfungen für AppLocker

Zusammenfassung

Die Windows-Updates vom 30. September 2022 und höher haben erhebliche Änderungen an der AppLocker-Unterstützung vorgenommen. Vor den Updates gebundene Windows die Richtlinienerzwingung an die Windows-Edition und die Methode, die zum Verwalten der Endpunkte verwendet wurde. Beispielsweise haben systeme, die von der Verwaltung mobiler Geräte (Mobile Device Management, MDM) verwaltet werden, AppLocker-Richtlinien für alle Editionen von Windows 10 und Windows 11 erzwungen. Außerdem haben von Gruppenrichtlinie verwaltete Systeme nur AppLocker-Richtlinien für Windows 10- und Windows 11 Enterprise- oder Education-Editionen erzwungen.

Durch diese Updates wurden die Editionsüberprüfungen für Windows 10, Versionen 2004, 20H2 und 21H1 sowie alle Versionen von Windows 11 entfernt. Sie können jetzt AppLocker-Richtlinien für alle diese Windows-Versionen bereitstellen und erzwingen, unabhängig von ihrer Edition oder Verwaltungsmethode.

KB5024351 – Entfernen von Windows-Editionsprüfungen für AppLocker – Microsoft-Support

Die gesuchte Lösung noch nicht gefunden oder benötigen Sie Hilfe bei anderen Themen aus meinem Blog? Nehmen Sie gerne Kontakt mit mir bzw. meinem Unternehmen Jan Mischo IT auf. Ich freue mich auf Ihre Anfrage: https://janmischo.it/kontakt/


+49 2801 7004300

info@janmischo.it


Beitrag veröffentlicht

in

, ,

von

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.