{"id":312187,"date":"2025-06-02T10:09:40","date_gmt":"2025-06-02T08:09:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=312187"},"modified":"2025-06-02T10:31:19","modified_gmt":"2025-06-02T08:31:19","slug":"windows-11-24h2-powershell-applocker-wdac-script-enforcement-monate-kaputt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/06\/02\/windows-11-24h2-powershell-applocker-wdac-script-enforcement-monate-kaputt\/","title":{"rendered":"Windows 11 24H2: PowerShell AppLocker\/WDAC Script Enforcement Monate kaputt"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ich greife mal, aus gegebenem Anlass, ein Thema auf, was mir Anfang Mai 2025 unter die Augen gekommen ist. Administratoren haben festgestellt, dass das PowerShell Script Enforcement im AppLocker\/WDAC \u00fcber Monate kaputt war. Sollte inzwischen aber mit der PowerShell 7.6 zwar behoben sein, zeigt aber, dass man im Fall der F\u00e4lle nicht oft genug hinschauen kann.<\/p>\n

<\/p>\n

AppLocker und WDAC<\/h2>\n

\"\"AppLocker<\/a> ist eine\u00a0Anwendungskontrollfunktion in Windows, die verwendet wird, um zu steuern, welche Anwendungen und Dateien Benutzer ausf\u00fchren k\u00f6nnen.\u00a0Es erm\u00f6glicht die Erstellung von Regeln, um die Ausf\u00fchrung von Apps basierend auf verschiedenen Faktoren, wie z.B. der Dateigr\u00f6\u00dfe, dem Hash-Wert oder dem Zertifikat, zu erlauben oder zu verweigern.<\/p>\n

Windows Defender Application Control<\/a> (WDAC) soll dazu beitragen, viele\u00a0 denkbare Sicherheitsbedrohungen zu minimieren. Dies erfolgt durch Einschr\u00e4nken von Anwendungen, die Benutzer ausf\u00fchren d\u00fcrfen, und den Code, der im Systemkern (Kernel) ausgef\u00fchrt wird. Anwendungssteuerungsrichtlinien k\u00f6nnen auch nicht signierte Skripts und MSI-Dateien blockieren und Windows PowerShell auf die Ausf\u00fchrung im ConstrainedLanguage-Modus beschr\u00e4nken.<\/p>\n

PowerShell Script Enforcement mit App-Control<\/h2>\n

Bei App Control Script Enforcement durch AppLocker\/WDAC handelt es sich um eine Sicherheitsebene, bei der die Script-Ausf\u00fchrung zwischen dem Script-Host (PowerShell) und App Control per Handshake ausgehandelt wird. Script-Host\u00a0steuert dann, ob gesetzte Regeln zur Ausf\u00fchrung oder Blockierung des Scripts anzuwenden sind. Einige Script Hosts, wie der Microsoft HTML Application Host (mshta.exe), blockieren die gesamte Codeausf\u00fchrung, wenn eine App Control UMCI-Richtlinie aktiv ist. Die meisten Script Hosts fragen zun\u00e4chst App Control, ob die Ausf\u00fchrung eines Skripts auf der Grundlage der derzeit aktiven App Control Richtlinien erlaubt werden soll. Der Skript-Host blockiert oder erlaubt dann die Ausf\u00fchrung des Skripts oder \u00e4ndert sie, um den Benutzer und das Ger\u00e4t bestm\u00f6glich zu sch\u00fctzen. Wurde von Microsoft hier beschrieben<\/a>.<\/p>\n

Es gab ein Problem in Windows 11 24H2<\/h2>\n

Das Ganze ging etwas an mir vorbei, aber bereits Anfang April 2025 gibt es in der Spice-Works-Community den Beitrag\u00a0Application Control blocking WDAC policy deployment<\/a>, wo jemand darauf hin wies, dass es Probleme bei der Durchsetzung von WDAC-Richtlinien in Windows 11 24H2 gebe.<\/p>\n

Auf reddit.com gibt es den Thread\u00a0Heads up!! Windows 11 24H2: AppLocker script enforcement broken!!<\/a>, der davor warnt, dass es bei der Migration auf Windows 11 24H2 Probleme mit dem AppLocker Script Enforcement gebe. Der Beitrag verweist auf den zum 27. April 2025 bei Patch my PC erschienenen Artikel Windows 11 24H2: AppLocker script enforcement broken<\/a>.<\/p>\n

Bei der Migration auf Windows 11 24H2 gebe es ein kritisches Sicherheitsproblem, hei\u00dft es dort. Unter Windows 11 24H2 werde der eingeschr\u00e4nkte Sprachmodus (Constrained Language Mode) bei der Verwendung von AppLocker-Skriptregeln nicht mehr korrekt durchgesetzt.<\/p>\n

PowerShell-Skripte, die stark eingeschr\u00e4nkt sein sollten, w\u00fcrden jetzt im vollst\u00e4ndigen Sprachmodus v\u00f6llig uneingeschr\u00e4nkt ausgef\u00fchrt. Dadurch entstehe eine gro\u00dfe L\u00fccke in der Sicherheitsdurchsetzung, die Administratoren vor dem Upgrade auf Windows 24H2 verstehen und beseitigen m\u00fcssen.<\/p>\n

Mir ist das Thema dann erstmals Anfang Mai 2025 im neowin.net-Beitrag\u00a0Admins find Windows 11 24H2 PowerShell AppLocker\/WDAC script enforcement broken for months<\/a> untergekommen. Im Kontext dieses Kommentars<\/a> hier im Blog habe ich das Thema mal herausgezogen. Inzwischen hat Microsoft das Verhalten mit\u00a0PowerShell 7.6<\/a> wohl korrigiert (siehe Fallback to AppLocker after WldpCanExecuteFile (#24912<\/em>). Aber das ist der Blog-Leserschaft vermutlich bekannt.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows: WDAC und Driver Blocklist scheitern; MS will Video von Will Dormann<\/a>
\nWindows Defender Application Control (WDAC) wird Application Control for Business<\/a>
\nWindows 10: Ungewollte Neustarts wegen Microsoft Defender Application Control (WDAC)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich greife mal, aus gegebenem Anlass, ein Thema auf, was mir Anfang Mai 2025 unter die Augen gekommen ist. Administratoren haben festgestellt, dass das PowerShell Script Enforcement im AppLocker\/WDAC \u00fcber Monate kaputt war. Sollte inzwischen aber mit der PowerShell 7.6 … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,426,301],"tags":[4966,4328,8550,8257],"class_list":["post-312187","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-sicherheit","category-windows","tag-applocker","tag-sicherheit","tag-wdac","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312187","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=312187"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312187\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=312187"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=312187"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=312187"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}