VeraCrypt ist eine Software, mit der sich Windows-Laufwerke verschlüsseln lassen oder mit der sich verschlüsselte Container auf Laufwerken anlegen und als eigene Laufwerke mounten lassen. Die Frage: Wie kann man mit Applocker einen Programmordner, der in einem VeraCrypt-Laufwerk liegt, zulassen?
Genau diese Frage hat Bolko im Diskussionsbereich des Blogs gestellt. Da ich diese Einträge zyklisch lösche, ziehe ich die Kommentare in diesen Artikel. Bolko sagt am 6. März 2024 um 22:43 Uhr:
Wie kann man mit Applocker einen Programmordner zulassen, der sich in einem geöffneten (entschlüsselten) VeraCrypt-Container befindet?
Wenn ich wie üblich eine Regel für den Ordner erstelle, dann steht da %REMOVABLE% am Pfadanfang und die Ausführung des Programms wird verweigert.
Wenn ich das %REMOVABLE% durch den konkreten Laufwerksbuchstaben ersetze, dann ändert das auch nichts, das Programm bleibt gesperrt.Muss man da im VeraCrypt etwas umstellen oder sind %REMOVABLE% generell nicht zugelassen im Applocker?
Wenn ich das Programm auf eine normale Partition außerhalb des VeraCrypt-Contaier kopiere und diesen Ordner mit Applocker zulasse, dann funktioniert es dort.
Ich möchte es aber innerhalb des VeraCrypt-Containers haben und das funktioniert bisher nicht.Nach der Erstellung der neuen Regel habe ich auch in einer Konsole "gpupdate" ausgeführt, damit die neuen Regeln aktiviert werden, also daran liegt es nicht.
Antworten: Norddeutsch sagt am 7. März 2024 um 13:03 Uhr
Yo @Bolko – schon %HOT% von hier versucht? Verycrypt mounted mE ein r/w Filesystem, removable storage device und nicht "nur" r/o media.
Habe kA wann Applocker die Rule Applied – aber den Pfad gibts ggf anfangs vll. noch nicht. Bei Linux Apparmor würd ich daher sinngemäß nach "attach_disconnected" schauen. Unter Linux geht das :-p
Bolko sagt: 7. März 2024 um 16:46 Uhr
Das mit dem %HOT% funktioniert leider nicht.
Bernd B. sagt: 7. März 2024 um 13:09 Uhr
Als Workaround versuchte ich, den VC-Ordner mit mklink /d, /h oder /j (in dieser Reihenfolge) in einen normalen Ordner zu 'mounten'.
Bolko sagt: 7. März 2024 um 17:30 Uhr
Danke für den Trick.
Ich habe alle drei Varianten mit /D, /H und /J ausprobiert, aber es funktionierte alles nicht, der Ordner blieb gesperrt.
Dann nahm ich "gpupdate /force" statt "gpupdate" und es funktionierte immer noch nicht.
Ca 1 Stunde später nach zig frustrierenden Versuchen habe ich eine Pause gemacht und danach ging es dann plötzlich wie von selbst und zwar mit allen 3 Varianten, obwohl ich nichts machte außer Tee trinken und Kekse essen.
Offenbar braucht Applocker einfach etwas Zeit, bis die Regeln vollständig kapiert worden sind.Seltsamerweise funktionieren die Applocker-Einstellungen mit normalen Ordnern außerhalb von VeraCrypt sofort, nur nicht mit diesen VeraCrypt-Ordnern (%REMOVABLE%), die erst verzögert aktiviert werden.
Der KNALLER ist, jetzt funktioniert es sogar direkt im VeraCrypt-Container, auch ohne Symlink oder Hardlink.
Ich frage mich, warum Applocker den Befehl "gpupdate /force" ignoriert, wenn sich die Regel auf einen VeraCrypt-Container bezieht.
Scheint ein Bug in meinem Windows 7 zu sein.Da sind die beiden "bösen" Timer:
Gruppenrichtlinie,
Administrative Vorlagen,
System,
Gruppenrichtlinie,
Gruppenrichtlinien-Aktualisierungsintervall für Computer
(kann man auf "Aktiviert" stellen und dann die beiden Timer einstellen).Standardmäßig werden Computerrichtlinien alle 90 Minuten im Hintergrund (mit einem zufälligen Versatz von 0 bis 30 Minuten) aktualisiert.
oder in der Registry statt im Gruppenrichtlinieneditor:
HKEY_LOCAL_MACHINE oder HKEY_CURRENT_USER
Software\\Policies\\Microsoft\\Windows\\System
DWORD-32: GroupPolicyRefreshTime
Default: 90 (Minuten, dezimal)zufällige Varianz (damit nicht alle gleichzeitig die GPO-Updates holen):
HKEY_LOCAL_MACHINE oder HKEY_CURRENT_USER
Software\\Policies\\Microsoft\\Windows\\System
DWORD-32: GroupPolicyRefreshTimeOffset
Default: 30 (Minuten, dezimal)
Norddeutsch sagt: 8. März 2024 um 07:37 Uhr
Hi @Bolko – magst Du vll mal schauen, ob "dann" auch %HOT% statt %REMOVABLE% geht? Da wett ich ja drauf! Hab bisher wenig Info zum technischen Unterschied HOT vs REMOVABLE gesehen.
Falls jemand eine Quelle mit einem Basis-Samlung oder GPO-Set für normale Workstations kennt. Hab immer wieder die Frage, wie man "einfach" die gängisten Windows-Komponenten absichert
Bolko sagt: 8. März 2024 um 18:18 Uhr
Bei mir funktioniert es nach Umstellung auf %HOT% nicht.
Den Grund kenne ich nicht.Wenn ich dann wieder auf %REMOVABLE% umstelle, geht das dann auch wieder nicht, obwohl es direkt vorher noch ging.
Mit dem konkreten Laufwerksbuchstaben funktioniert es aber sofort wieder.
Jeweils mit "gpupdate /force" getestet.
Vielleicht liegt es auch nicht nur am Applocker, sondern auch am Explorer bzw wie das Dateisystem arbeitet bzw wann die Platzhalter %REMOVABLE% und %HOT% aktiviert werden.
Eventuell müsste ich bei %HOT% wieder 120 Minuten warten bzw die Anzahl Minuten, die in den beiden Timern drin stehen, bis es wieder klappt.Ich müsste mal testen, was das Abschießen und Neustarten des Explorer bringt oder wie man das Dateisystem bzw das Ordner-Variablenhandling zum refreshen zwingen kann.
Windows ist da suboptimal.
Bernd B. sagt: 9. März 2024 um 06:26 Uhr
"wann die Platzhalter %REMOVABLE% und %HOT% aktiviert werden"
Ob sie (bereits) aktiviert wurden ist doch unmittelbar feststellbar ("echo %HOT%")?
MVP: 2013 – 2016
