Com-Objektregistrierung in einer App Control for Business-Richtlinie zulassen

Das Microsoft Component Object Model (COM) ist ein plattformunabhängiges, verteiltes, objektorientiertes System zum Erstellen binärer Softwarekomponenten, die interagieren können. COM gibt ein Objektmodell und Programmieranforderungen an, mit denen COM-Objekte mit anderen Objekten interagieren können.

COM-Objektkonfigurierbarkeit in der App-Steuerelementrichtlinie

App Control for Business erzwingt eine integrierte Positivliste für die COM-Objektregistrierung. Obwohl diese Liste für die häufigsten Anwendungsnutzungsszenarien geeignet ist, müssen Sie möglicherweise mehr COM-Objekte zulassen, um die in Ihrem organization verwendeten Apps zu unterstützen. Sie können zulässige COM-Objekte über ihre GUID in Ihrer App Control-Richtlinie angeben, wie in diesem Artikel beschrieben.

Abrufen der COM-Objekt-GUID

Sie können die GUID der COM-Anwendung aus den 8036 COM-Objektblockereignissen in Ereignisanzeige abrufen, die sich unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > AppLocker > MSI and Script befinden, und die GUID aus den Ereignisdaten extrahieren.

Richtlinieneinstellung zum Zulassen oder Verweigern der COM-Objekt-GUID erstellen

Drei Elemente:

• Anbieter: Plattform, auf der Code ausgeführt wird (Werte sind PowerShell, WSH, IE, VBA, MSI oder ein Platzhalter "AllHostIds").
• Schlüssel: GUID für das Programm, das Sie ausführen möchten, im Format Key="{33333333-4444-4444-1616-161616161616}"
• ValueName: muss auf "EnterpriseDefinedClsId" festgelegt werden.

Ein Attribut:

• Wert: muss "true" für allow und "false" für Deny sein.

  Hinweis

  Deny funktioniert nur in Basisrichtlinien, nicht in ergänzenden Richtlinien.

• Die Einstellung muss in der Reihenfolge der ASCII-Werte platziert werden (zuerst nach Provider, dann Key, dann ValueName).

Überlegungen zu mehreren Richtlinien

Ähnlich wie bei ausführbaren Dateien müssen COM-Objekte alle erzwungenen App Control-Richtlinien auf dem System übergeben, um ausgeführt zu werden. Wenn das ausgewertete COM-Objekt beispielsweise die meisten, aber nicht alle App Control-Richtlinien übergibt, wird das COM-Objekt blockiert. Wenn Sie eine Kombination aus Basis- und Ergänzenden Richtlinien verwenden, muss das COM-Objekt nur in der Basisrichtlinie oder in einer der zusätzlichen Richtlinien zugelassen werden.

Beispiele

Beispiel 1: Ermöglicht die Registrierung aller COM-Objekt-GUIDs in einem beliebigen Anbieter.

<Setting Provider="AllHostIds" Key="AllKeys" ValueName="EnterpriseDefinedClsId">
  <Value>
    <Boolean>true</Boolean>
  </Value>
</Setting>

Beispiel 2: Blockiert die Registrierung eines bestimmten COM-Objekts über internet Explorer (IE)

<Setting Provider="IE" Key="{00000000-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
  <Value>
    <Boolean>false</Boolean>
  </Value>
</Setting>

Beispiel 3: Ermöglicht die Registrierung eines bestimmten COM-Objekts in PowerShell

<Setting Provider="PowerShell" Key="{33333333-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
  <Value>
    <Boolean>true</Boolean>
  </Value>
</Setting>

Konfigurieren von Einstellungen für die CLSIDs

Hier sehen Sie ein Beispiel für einen Fehler im Ereignisanzeige unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > AppLocker > MSI und Skript:

Protokollname: Microsoft-Windows-AppLocker/MSI und Skript
Quelle: Microsoft-Windows-AppLocker
Datum: 11.11.2020 13:18:11 Uhr
Ereignis-ID: 8036
Aufgabenkategorie: Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: S-1-5-21-3340858017-3068726007-3466559902-3647
Computer: contoso.com
Beschreibung: {f8d253d9-89a4-4daa-87b6-1168369f0b21} wurde aufgrund der CI-Konfigurationsrichtlinie nicht ausgeführt.

Ereignis-XML:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-AppLocker" Guid="{cbda4dbf-8d5d-4f69-9578-be14aa540d22}" />
    <EventID>8036</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x4000000000000000</Keywords>
    <TimeCreated SystemTime="2020-11-11T13:18:11.4029179Z" />
    <EventRecordID>819347</EventRecordID>
    <Correlation ActivityID="{61e3e871-adb0-0047-c9cc-e761b0add601}" />
    <Execution ProcessID="21060" ThreadID="23324" />
    <Channel>Microsoft-Windows-AppLocker/MSI and Script</Channel>
    <Computer>contoso.com</Computer>
    <Security UserID="S-1-5-21-3340858017-3068726007-3466559902-3647" />
  </System>
  <EventData>
    <Data Name="IsApproved">false</Data>
    <Data Name="CLSID">{f8d253d9-89a4-4daa-87b6-1168369f0b21}</Data>
  </EventData>
</Event>

Führen Sie die folgenden Schritte aus, um diese CLSID der vorhandenen Richtlinie hinzuzufügen:

1. Öffnen Sie PowerShell ISE mit Administratorrechten.

2. Kopieren Sie diesen Befehl, bearbeiten Sie ihn, und führen Sie ihn dann über die PowerShell-Verwaltungs-ISE aus. Betrachten Sie den Richtliniennamen als AppControl_policy.xml.

   PS C:\WINDOWS\system32> Set-CIPolicySetting -FilePath <path to policy xml>\AppControl_policy.xml -Key "{f8d253d9-89a4-4daa-87b6-1168369f0b21}" -Provider WSH -Value true -ValueName EnterpriseDefinedClsId -ValueType Boolean
   

   Sobald der Befehl ausgeführt wird, suchen Sie den folgenden Abschnitt, der dem Richtlinien-XML hinzugefügt wurde.

   <Settings>
     <Setting Provider="WSH" Key="{f8d253d9-89a4-4daa-87b6-1168369f0b21}" ValueName="EnterpriseDefinedClsId">
       <Value>
         <Boolean>true</Boolean>
       </Value>
     </Setting>
   

Standard-COM-Objekt positivliste

Die folgende Tabelle beschreibt die Liste der COM-Objekte, die in App Control for Business grundsätzlich vertrauenswürdig sind. Objekte in dieser Liste müssen in Ihren App-Steuerelementrichtlinien nicht in die Positivliste aufgenommen werden. Sie können abgelehnt werden, indem sie explizite Ablehnungsregeln in Ihrer App-Steuerungsrichtlinie erstellen.