![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
VeraCrypt ist eine Software, mit der sich Windows-Laufwerke verschl\u00fcsseln lassen oder mit der sich verschl\u00fcsselte Container auf Laufwerken anlegen und als eigene Laufwerke mounten lassen. Die Frage: Wie kann man mit Applocker einen Programmordner, der in einem VeraCrypt-Laufwerk liegt, zulassen?<\/p>\n
<\/p>\n
Genau diese Frage hat Bolko im Diskussionsbereich des Blogs gestellt. Da ich diese Eintr\u00e4ge zyklisch l\u00f6sche, ziehe ich die Kommentare in diesen Artikel. Bolko sagt am 6. M\u00e4rz 2024 um 22:43 Uhr:<\/p>\n
Wie kann man mit Applocker einen Programmordner zulassen, der sich in einem ge\u00f6ffneten (entschl\u00fcsselten) VeraCrypt-Container befindet?<\/p>\n
Wenn ich wie \u00fcblich eine Regel f\u00fcr den Ordner erstelle, dann steht da %REMOVABLE% am Pfadanfang und die Ausf\u00fchrung des Programms wird verweigert.
\nWenn ich das %REMOVABLE% durch den konkreten Laufwerksbuchstaben ersetze, dann \u00e4ndert das auch nichts, das Programm bleibt gesperrt.<\/p>\nMuss man da im VeraCrypt etwas umstellen oder sind %REMOVABLE% generell nicht zugelassen im Applocker?<\/p>\n
Wenn ich das Programm auf eine normale Partition au\u00dferhalb des VeraCrypt-Contaier kopiere und diesen Ordner mit Applocker zulasse, dann funktioniert es dort.
\nIch m\u00f6chte es aber innerhalb des VeraCrypt-Containers haben und das funktioniert bisher nicht.<\/p>\nNach der Erstellung der neuen Regel habe ich auch in einer Konsole \"gpupdate\" ausgef\u00fchrt, damit die neuen Regeln aktiviert werden, also daran liegt es nicht.<\/p><\/blockquote>\n
Antworten: Norddeutsch sagt am 7. M\u00e4rz 2024 um 13:03 Uhr<\/p>\n
Yo @Bolko \u2013 schon %HOT% von hier versucht? Verycrypt mounted mE ein r\/w Filesystem, removable storage device und nicht \"nur\" r\/o media.<\/p>\n
Habe kA wann Applocker die Rule Applied \u2013 aber den Pfad gibts ggf anfangs vll. noch nicht. Bei Linux Apparmor w\u00fcrd ich daher sinngem\u00e4\u00df nach \"attach_disconnected\" schauen. Unter Linux geht das :-p<\/p>\n
Bolko sagt: 7. M\u00e4rz 2024 um 16:46 Uhr<\/p>\n
Das mit dem %HOT% funktioniert leider nicht.<\/p><\/blockquote>\n
Bernd B. sagt: 7. M\u00e4rz 2024 um 13:09 Uhr<\/p>\n
Als Workaround versuchte ich, den VC-Ordner mit mklink \/d, \/h oder \/j (in dieser Reihenfolge) in einen normalen Ordner zu 'mounten'.<\/p><\/blockquote>\n
Bolko sagt: 7. M\u00e4rz 2024 um 17:30 Uhr<\/p>\n
Danke f\u00fcr den Trick.<\/p>\n
Ich habe alle drei Varianten mit \/D, \/H und \/J ausprobiert, aber es funktionierte alles nicht, der Ordner blieb gesperrt.<\/p>\n
Dann nahm ich \"gpupdate \/force\" statt \"gpupdate\" und es funktionierte immer noch nicht.<\/p>\n
Ca 1 Stunde sp\u00e4ter nach zig frustrierenden Versuchen habe ich eine Pause gemacht und danach ging es dann pl\u00f6tzlich wie von selbst und zwar mit allen 3 Varianten, obwohl ich nichts machte au\u00dfer Tee trinken und Kekse essen.
\nOffenbar braucht Applocker einfach etwas Zeit, bis die Regeln vollst\u00e4ndig kapiert worden sind.<\/p>\nSeltsamerweise funktionieren die Applocker-Einstellungen mit normalen Ordnern au\u00dferhalb von VeraCrypt sofort, nur nicht mit diesen VeraCrypt-Ordnern (%REMOVABLE%), die erst verz\u00f6gert aktiviert werden.<\/p>\n
Der KNALLER ist, jetzt funktioniert es sogar direkt im VeraCrypt-Container, auch ohne Symlink oder Hardlink.<\/p>\n
Ich frage mich, warum Applocker den Befehl \"gpupdate \/force\" ignoriert, wenn sich die Regel auf einen VeraCrypt-Container bezieht.
\nScheint ein Bug in meinem Windows 7 zu sein.<\/p>\nDa sind die beiden \"b\u00f6sen\" Timer:<\/p>\n
Gruppenrichtlinie,
\nAdministrative Vorlagen,
\nSystem,
\nGruppenrichtlinie,
\nGruppenrichtlinien-Aktualisierungsintervall f\u00fcr Computer
\n(kann man auf \"Aktiviert\" stellen und dann die beiden Timer einstellen).<\/p>\nStandardm\u00e4\u00dfig werden Computerrichtlinien alle 90 Minuten im Hintergrund (mit einem zuf\u00e4lligen Versatz von 0 bis 30 Minuten) aktualisiert.<\/p>\n
oder in der Registry statt im Gruppenrichtlinieneditor:<\/p>\n
HKEY_LOCAL_MACHINE oder HKEY_CURRENT_USER
\nSoftware\\\\Policies\\\\Microsoft\\\\Windows\\\\System
\nDWORD-32: GroupPolicyRefreshTime
\nDefault: 90 (Minuten, dezimal)<\/p>\nzuf\u00e4llige Varianz (damit nicht alle gleichzeitig die GPO-Updates holen):
\nHKEY_LOCAL_MACHINE oder HKEY_CURRENT_USER
\nSoftware\\\\Policies\\\\Microsoft\\\\Windows\\\\System
\nDWORD-32: GroupPolicyRefreshTimeOffset
\nDefault: 30 (Minuten, dezimal)<\/p><\/blockquote>\nNorddeutsch sagt: 8. M\u00e4rz 2024 um 07:37 Uhr<\/p>\n
Hi @Bolko \u2013 magst Du vll mal schauen, ob \"dann\" auch %HOT% statt %REMOVABLE% geht? Da wett ich ja drauf! Hab bisher wenig Info zum technischen Unterschied HOT vs REMOVABLE gesehen.<\/p>\n
Falls jemand eine Quelle mit einem Basis-Samlung oder GPO-Set f\u00fcr normale Workstations kennt. Hab immer wieder die Frage, wie man \"einfach\" die g\u00e4ngisten Windows-Komponenten absichert<\/p><\/blockquote>\n
Bolko sagt: 8. M\u00e4rz 2024 um 18:18 Uhr<\/p>\n
Bei mir funktioniert es nach Umstellung auf %HOT% nicht.
\nDen Grund kenne ich nicht.<\/p>\nWenn ich dann wieder auf %REMOVABLE% umstelle, geht das dann auch wieder nicht, obwohl es direkt vorher noch ging.<\/p>\n
Mit dem konkreten Laufwerksbuchstaben funktioniert es aber sofort wieder.<\/p>\n
Jeweils mit \"gpupdate \/force\" getestet.<\/p>\n
Vielleicht liegt es auch nicht nur am Applocker, sondern auch am Explorer bzw wie das Dateisystem arbeitet bzw wann die Platzhalter %REMOVABLE% und %HOT% aktiviert werden.
\nEventuell m\u00fcsste ich bei %HOT% wieder 120 Minuten warten bzw die Anzahl Minuten, die in den beiden Timern drin stehen, bis es wieder klappt.<\/p>\nIch m\u00fcsste mal testen, was das Abschie\u00dfen und Neustarten des Explorer bringt oder wie man das Dateisystem bzw das Ordner-Variablenhandling zum refreshen zwingen kann.<\/p>\n
Windows ist da suboptimal.<\/p><\/blockquote>\n
Bernd B. sagt: 9. M\u00e4rz 2024 um 06:26 Uhr<\/p>\n
\"wann die Platzhalter %REMOVABLE% und %HOT% aktiviert werden\"<\/p>\n
Ob sie (bereits) aktiviert wurden ist doch unmittelbar feststellbar (\"echo %HOT%\")?<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"
VeraCrypt ist eine Software, mit der sich Windows-Laufwerke verschl\u00fcsseln lassen oder mit der sich verschl\u00fcsselte Container auf Laufwerken anlegen und als eigene Laufwerke mounten lassen. Die Frage: Wie kann man mit Applocker einen Programmordner, der in einem VeraCrypt-Laufwerk liegt, zulassen?<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4966,4328,4486],"class_list":["post-321543","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-applocker","tag-sicherheit","tag-veracrypt"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321543","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=321543"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321543\/revisions"}],"predecessor-version":[{"id":321544,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321543\/revisions\/321544"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=321543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=321543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=321543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}