Administratoren entdecken seit Monaten anhaltende Probleme bei der Durchsetzung von PowerShell AppLocker/WDAC-Skripten in Windows 11 24H2

Administratoren entdecken seit Monaten anhaltende Probleme bei der Durchsetzung von PowerShell AppLocker/WDAC-Skripten in Windows 11 24H2

Microsofts Windows 11 24H2-Update wird wegen AppLocker-Problemen kritisiert

Letzte Woche kündigte Microsoft die allgemeine Verfügbarkeit von Windows 11 24H2 an und forderte Nutzer auf, das neueste Funktionsupdate herunterzuladen. Dieser Rollout verlief jedoch nicht unumstritten, da mehrere erhebliche Probleme auftraten. Nutzer berichteten von schwerwiegenden Upgrade-bezogenen Fehlern und Leistungseinbußen, was Bedenken hinsichtlich eines möglichen Datenverlusts aufkommen ließ.

Herausforderungen bei der AppLocker-Bereitstellung

Im Jahr 2023 vereinfachte Microsoft die Bereitstellung von AppLocker, einer Sicherheitsfunktion, die Unternehmen bei der Verwaltung des Anwendungszugriffs unterstützen soll. Die Implementierung scheint jedoch für die Zyklen 2024–2025 unzureichend getestet worden zu sein, was zu erheblichen Schwachstellen führt.

AppLocker und seine Bedeutung verstehen

AppLocker ermöglicht die Anwendungssteuerung durch die Definition von Richtlinien, die die Ausführung von Dateien und Anwendungen auf den Systemen einschränken. Diese Richtlinien gelten für verschiedene Dateitypen, darunter EXE-Dateien, Skripts, Windows Installer-Pakete, DLL-Dateien und Anwendungspakete.

Benutzerberichte heben Sicherheitslücke hervor

Das Problem erregte erstmals Aufmerksamkeit, als ein Benutzer namens CFou auf Stack Exchange meldete, dass der ConstrainedLanguageModus in PowerShell nicht korrekt funktionierte. Anstatt Einschränkungen durchzusetzen, wurde die Sitzung standardmäßig auf FullLanguage. Ein anderer Beitragender bestätigte, dass diese Fehlfunktion unter Windows 11 24H2 reproduzierbar sei und insbesondere Sicherheitsbedenken auslöste, da potenziell schädliche Skripte uneingeschränkt ausgeführt werden konnten.

Einblicke der Community und weitere Untersuchungen

Diese Besorgnis wurde auch vom Reddit-Nutzer hornetfig geteilt, der im Sysadmin-Subreddit ähnliche Erfahrungen teilte. Da immer mehr Nutzer dasselbe Problem meldeten, löste das Ausnutzungspotenzial eine dringende Diskussion innerhalb der Community aus.

Technische Analyse von Microsoft MVP

Roody Ooms, ein Microsoft MVP, führte eine Untersuchung durch und stellte fest, dass die Probleme auf eine fehlerhafte Implementierung der neuen WldpCanExecuteFileAPI zurückzuführen waren, die in PowerShell 7.3 eingeführt wurde. Diese Version ersetzte die alte WldpGetLockdownPolicyAPI, die in früheren Versionen zur effektiven Durchsetzung von Sicherheitsprotokollen verwendet wurde.

Bestätigung und geplante Fehlerbehebungen durch Microsoft

Microsoft ist sich der Auswirkungen dieser Sicherheitslücke bewusst und arbeitet aktiv an einer Lösung. Die kommende Version PowerShell 7.6-preview.4 wird im Rahmen der Engine-Verbesserungen einen wichtigen Fix enthalten:

Fallback auf AppLocker nach WldpCanExecuteFile (#24912)

Weitere Infos

Für Personen, die weitere technische Einblicke in dieses aktuelle Problem suchen, hat Roody Ooms in seinem umfassenden Blogbeitrag hier zusätzliche Einzelheiten bereitgestellt.

Weitere Informationen zu diesem Thema finden Sie in dieser Quelle.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert