Com-Objektregistrierung in einer App Control for Business-Richtlinie zulassen
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
Das Microsoft Component Object Model (COM) ist ein plattformunabhängiges, verteiltes, objektorientiertes System zum Erstellen binärer Softwarekomponenten, die interagieren können. COM gibt ein Objektmodell und Programmieranforderungen an, mit denen COM-Objekte mit anderen Objekten interagieren können.
COM-Objektkonfigurierbarkeit in der App-Steuerelementrichtlinie
App Control for Business erzwingt eine integrierte Positivliste für die COM-Objektregistrierung. Diese Liste funktioniert zwar für die meisten gängigen Anwendungsnutzungsszenarien, sie müssen jedoch möglicherweise mehr COM-Objekte zulassen, um die in Ihrem organization verwendeten Apps zu unterstützen. Sie können zulässige COM-Objekte über ihre GUID in Ihrer App Control-Richtlinie angeben, wie in diesem Artikel beschrieben.
Hinweis
Um diese Funktionalität anderen Versionen von Windows 10 hinzuzufügen, können Sie die folgenden oder späteren Updates installieren.
- Windows 10, 1809 18. Juni 2019-KB4501371 (Betriebssystembuild 17763.592)
- Windows 10, 1607 18. Juni 2019-KB4503294 (Betriebssystembuild 14393.3053)
Abrufen der COM-Objekt-GUID
Sie können die GUID der COM-Anwendung aus den 8036 COM-Objektblockereignissen in Ereignisanzeige abrufen, die sich unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > AppLocker > MSI and Script befinden, und die GUID aus den Ereignisdaten extrahieren.
Richtlinieneinstellung zum Zulassen oder Verweigern der COM-Objekt-GUID erstellen
Drei Elemente:
- Anbieter: Plattform, auf der Code ausgeführt wird (Werte sind PowerShell, WSH, IE, VBA, MSI oder ein Platzhalter "AllHostIds").
- Schlüssel: GUID für das Programm, das Sie ausführen möchten, im Format Key="{33333333-4444-4444-1616-161616161616}"
- ValueName: muss auf "EnterpriseDefinedClsId" festgelegt werden.
Ein Attribut:
Wert: muss "true" für allow und "false" für Deny sein.
Hinweis
Deny funktioniert nur in Basisrichtlinien, nicht in ergänzenden Richtlinien.
Die Einstellung muss in der Reihenfolge der ASCII-Werte platziert werden (zuerst nach Provider, dann Key, dann ValueName).
Überlegungen zu mehreren Richtlinien
Ähnlich wie bei ausführbaren Dateien müssen COM-Objekte alle erzwungenen App Control-Richtlinien auf dem System übergeben, um ausgeführt zu werden. Wenn das ausgewertete COM-Objekt beispielsweise die meisten, aber nicht alle App Control-Richtlinien übergibt, wird das COM-Objekt blockiert. Wenn Sie eine Kombination aus Basis- und Ergänzenden Richtlinien verwenden, muss das COM-Objekt nur in der Basisrichtlinie oder in einer der zusätzlichen Richtlinien zugelassen werden.
Beispiele
Beispiel 1: Ermöglicht die Registrierung aller COM-Objekt-GUIDs in einem beliebigen Anbieter.
<Setting Provider="AllHostIds" Key="AllKeys" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>true</Boolean>
</Value>
</Setting>
Beispiel 2: Blockiert die Registrierung eines bestimmten COM-Objekts über internet Explorer (IE)
<Setting Provider="IE" Key="{00000000-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>false</Boolean>
</Value>
</Setting>
Beispiel 3: Ermöglicht die Registrierung eines bestimmten COM-Objekts in PowerShell
<Setting Provider="PowerShell" Key="{33333333-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>true</Boolean>
</Value>
</Setting>
Konfigurieren von Einstellungen für die CLSIDs
Hier sehen Sie ein Beispiel für einen Fehler im Ereignisanzeige unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > AppLocker > MSI und Skript:
Protokollname: Microsoft-Windows-AppLocker/MSI und Skript
Quelle: Microsoft-Windows-AppLocker
Datum: 11.11.2020 13:18:11 Uhr
Ereignis-ID: 8036
Aufgabenkategorie: Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: S-1-5-21-3340858017-3068726007-3466559902-3647
Computer: contoso.com
Beschreibung: {f8d253d9-89a4-4daa-87b6-1168369f0b21} wurde aufgrund der CI-Konfigurationsrichtlinie nicht ausgeführt.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-AppLocker" Guid="{cbda4dbf-8d5d-4f69-9578-be14aa540d22}" />
<EventID>8036</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2020-11-11T13:18:11.4029179Z" />
<EventRecordID>819347</EventRecordID>
<Correlation ActivityID="{61e3e871-adb0-0047-c9cc-e761b0add601}" />
<Execution ProcessID="21060" ThreadID="23324" />
<Channel>Microsoft-Windows-AppLocker/MSI and Script</Channel>
<Computer>contoso.com</Computer>
<Security UserID="S-1-5-21-3340858017-3068726007-3466559902-3647" />
</System>
<EventData>
<Data Name="IsApproved">false</Data>
<Data Name="CLSID">{f8d253d9-89a4-4daa-87b6-1168369f0b21}</Data>
</EventData>
</Event>
Führen Sie die folgenden Schritte aus, um diese CLSID der vorhandenen Richtlinie hinzuzufügen:
Öffnen Sie PowerShell ISE mit Administratorrechten.
Kopieren Sie diesen Befehl, bearbeiten Sie ihn, und führen Sie ihn dann über die PowerShell-Verwaltungs-ISE aus. Betrachten Sie den Richtliniennamen als
AppControl_policy.xml.PS C:\WINDOWS\system32> Set-CIPolicySetting -FilePath <path to policy xml>\AppControl_policy.xml -Key "{f8d253d9-89a4-4daa-87b6-1168369f0b21}" -Provider WSH -Value true -ValueName EnterpriseDefinedClsId -ValueType BooleanNachdem der Befehl ausgeführt wurde, suchen Sie den folgenden Abschnitt, der dem Richtlinien-XML hinzugefügt wurde.
<Settings> <Setting Provider="WSH" Key="{f8d253d9-89a4-4daa-87b6-1168369f0b21}" ValueName="EnterpriseDefinedClsId"> <Value> <Boolean>true</Boolean> </Value> </Setting>
Standard-COM-Objekt positivliste
Die folgende Tabelle beschreibt die Liste der COM-Objekte, die in App Control for Business grundsätzlich vertrauenswürdig sind. Objekte in dieser Liste müssen in Ihren App-Steuerelementrichtlinien nicht in die Positivliste aufgenommen werden. Sie können abgelehnt werden, indem sie explizite Ablehnungsregeln in Ihrer App-Steuerungsrichtlinie erstellen.
| Dateiname | CLSID |
|---|---|
| scrrun.dll | EE09B103-97E0-11CF-978F-00A02463E06F |
| scrrun.dll | 0D43FE01-F093-11CF-8940-00A0C9054228 |
| vbscript.dll | 3F4DACA4-160D-11D2-A8E9-00104B365C9F |
| WEX. Logger.Log | 70B46225-C474-4852-BB81-48E0D36F9A5A |
| TE. Common.TestData | 1d68f3c0-b5f8-4abd-806a-7bc57cdce35a |
| TE. Common.RuntimeParameters | 9f3d4048-6028-4c5b-a92d-01bc977af600 |
| TE. Common.Verify | e72cbabf-8e48-4d27-b14e-1f347f6ec71a |
| TE. Common.Interruption | 5850ba6f-ce72-46d4-a29b-0d3d9f08cc0b |
| msxml6.dll | 2933BF90-7B36-11d2-B20E-00C04F983E60 |
| msxml6.dll | ED8C108E-4349-11D2-91A4-00C04F7969E8 |
| mmcndmgr.dll | ADE6444B-C91F-4E37-92A4-5BB430A33340 |
| puiobj.dll | B021FF57-A928-459C-9D6C-14DED0C9BED2 |
| wdtf.dll | 041E868E-0C7D-48C6-965F-5FD576530E5B |
| wdtfedtaction.dll | 0438C02B-EB9C-4E42-81AD-407F6CD6CDE1 |
| wdtfioattackaction.dll | 078B1F7D-C34C-4B13-A7C3-9663901650F1 |
| wdtfmutt2tcdsimpleioaction.dll | 0ABB2961-2CC1-4F1D-BE8E-9D330D06B77D |
| wdtfdriverpackageaction.dll | 0D7237E6-930F-4682-AD0A-52EBFFD3AEE3 |
| wdtf.dll | 0D972387-817B-46E7-913F-E9993FF401EB |
| wdtf.dll | 0E770B12-7221-4A5D-86EE-77310A5506BB |
| wdtfdriversetupdeviceaction.dll | 0FA57208-5100-4CD6-955C-FE69F8898973 |
| wdtf.dll | 1080A020-2B47-4DA9-8095-DBC9CEFFFC04 |
| wdtfnetworksimpleioaction.dll | 10CF2E12-1681-4C53-ADC0-932C84832CD8 |
| wdtf.dll | 140F2286-3B39-4DE1-AF94-E083DEEA6BB9 |
| wdtfinterfaces.dll | 1A7D6D61-4FE5-42E2-8F23-4FC1731C474F |
| wdtfaudiosimpleioaction.dll | 1C658D42-4256-4743-A4C5-90BF3A3A186A |
| wdtf.dll | 2236B1F3-4A33-48C2-B22C-A1F93A626F05 |
| wdtfsystemaction.dll | 23440924-1AB0-41F2-A732-B75069E5C823 |
| wdtfdriversetupsystemaction.dll | 238C0AEB-1DFC-4575-AAF3-C67FE15C1819 |
| wdtffuzztestaction.dll | 23D0E542-0390-4873-9AC7-EF86E95E5215 |
| wdtf.dll | 240FA08C-1D70-40CB-BDB3-2CC41A45496B |
| wdtf.dll | 26CC4211-A9A6-4E5C-A30D-3C659BB4CDC9 |
| wdtf.dll | 28EE5F0B-97D8-4A59-BAC8-A8A80E11F56B |
| wdtf.dll | 2C9AF7D6-2589-4413-A2BA-9926EBCFD67C |
| wdtf.dll | 32A9798D-987F-489E-8DB6-2EFB240248BD |
| wdtfinterfaces.dll | 3C0B0D50-611A-4368-AC87-4488D6E0C4A7 |
| wdtfcdromsimpleioaction.dll | 3F2C07F3-199B-4165-A948-B8B59A97FCC5 |
| wdtf.dll | 485785D3-8820-4C3D-A532-4C0F66392A30 |
| wdtfinterfaces.dll | 5EAE59BE-6946-44B7-A7B3-1D59811B246A |
| wdtfiospyaction.dll | 698F6A82-7833-4499-8BA5-2145D604ABD4 |
| wdtfdevicesupportaction.dll | 69D94D1B-0833-40D4-9AE7-7FC6F64F2624 |
| wdtf.dll | 6EE5B280-3B0F-4358-9E20-99F169FAA700 |
| wdtfmuttsimpleioaction.dll | 7776915A-0370-49A7-90B7-20EB36E80B6D |
| wdtfcpuutilizationsystemaction.dll | 7926C7DE-299C-4B09-BB1B-649A4B917ED0 |
| wdtfwirelesssimpleioaction.dll | 7A686BCD-9203-435C-8B06-9D7E7A518F98 |
| wdtfbluetoothsimpleioaction.dll | 7E6C4615-6184-4077-A150-5D30F29993A4 |
| wdtf.dll | 9663A00A-5B72-4810-9014-C77108062949 |
| wdtfinterfaces.dll | 9C261B2B-DBD6-4087-B636-ABE1607989E8 |
| wdtfwebcamsimpleioaction.dll | A1B74619-F02D-4574-8091-2AADD46A5B2B |
| wdtf.dll | A2FD15D7-64F0-4080-AABD-884380202022 |
| wdtfvolumesimpleioaction.dll | AC91E813-B116-4676-AE33-2988B590F3C7 |
| wdtfconcurrentioaction.dll | AE278430-ABC2-49D1-AF30-910B9A88CB1E |
| wdtf.dll | B43FF7F1-629C-4DE5-9559-1D09E0A07037 |
| wdtfdriververifiersystemaction.dll | B7770265-B643-4600-A60B-93F9BA9F4B24 |
| wdtfpnpaction.dll | B8D74985-4EB9-46AA-B2ED-DD2D918849DF |
| wdtfmobilebroadbandsimpleioaction.dll | BCFBBB02-4DA5-466C-9DA7-DC672877B075 |
| wdtf.dll | BE56FAD1-A489-4508-ABB7-3348E1C2C885 |
| wdtfpnpaction.dll | C0B6C572-D37D-47CC-A89D-E6B9E0852764 |
| wdtfioattackaction.dll | C88B324E-6B26-49BC-9D05-A221F15D7E13 |
| wdtfsensorsiosimpleioaction.dll | C8BF7EC0-C746-4DE8-BA46-34528C6329FB |
| wdtfanysimpleioaction.dll | C8C574DA-367B-4130-AED6-1EA61A5C6A4B |
| simpleio_d3dtest.dll | CBC36BDB-A6BC-4383-8194-659470553488 |
| wdtfsystemaction.dll | D30E1E07-AA39-4086-A7E6-9245FBD0A730 |
| wdtf.dll | DD34E741-139D-4F4C-A1E2-D4184FCDD4F9 |
| wdtfsupaction.dll | EA48171B-4265-48C3-B56B-70B175A7FDFA |
| wdtfinterfaces.dll | EB9DB874-D23D-44D5-A988-85E966322843 |
| wdtfinterfaces.dll | ED05EF76-09A9-4409-90CA-C5D0711CA057 |
| wdtfwpdsimpleioaction.dll | EEA17F2B-8E8E-41A3-9776-A87FACD625D0 |
| wdtfinterfaces.dll | F30FC2BB-F424-4A1F-8F95-68CFEE935E92 |
| wdtfedtaction.dll | F6694E02-5AD0-476D-BD2D-43F7E5D10AF6 |
| wdtfsmartcardreadersimpleioaction.dll | FA6F7E49-76C6-490C-B50E-8B1E8E0EEE2A |
| wdtfiospyaction.dll | FE36026D-CDA8-4514-B3D9-57BDA3870D0C |