Wie lädt man eigentlich ein Code-Signing-Zertifikat für eine UWP-App aus dem Microsoft Store herunter, wenn AppLocker aktiv ist? Die Frage ist mir die Tage unter die Augen gekommen.
Anzeige
Ich gestehe, ich habe mir bisher keine Gedanken um diese Fragestellung gemacht, weil ich da keine Aktien drin habe. Aber Administratoren in Firmenumgebungen, die mit AppLocker arbeiten, müssten tangiert sein. Es geht um eine Diskussion auf Facebook, die mir die Tage aufgefallen ist.
Jemand möchte das Code-Signing-Zertifikat einer Microsoft Store UWP-App vor der Installation dieser App herunterladen. Das braucht er imho, da Applocker den Download sonst blockiert. Ein Diskutant verweist auf diesen Technet-Forenthread, der aber imho etwas anderes thematisiert.
Aktuell ist wird wohl die Lösung mit der Brechstange praktiziert: AppLocker deaktivieren, die App aus dem Store installieren, AppLocker aktivieren und dann die App in AppLocker bekannt machen. Bringt mich zur Frage: Wie macht ihr das, falls ihr von diesem Szenario betroffen seid?
2015
Ich würde probieren, die Datei mit dem Windows Store-Downloader von Adguard herunterzuladen, das Archiv dann mit 7-Zip entpacken und das Zertifikat in den Dateieigenschaften prüfen.
Ich habe für solche Sachen eine VM in der Applocker nicht aktiv ist. Außerdem sind darin die RSAT-Tools installiert, so dass ich die Gruppenrichtlinie damit bearbeiten kann.
Der Admin sollte immer an der extra geschützten PAW (Am besten geschützt mit Application Control) arbeiten. Parallel dazu hat er natürlich noch ein paar VMs die „konfigurations-frei" und ein paar VMs die „User" konfiguriert sind um einerseits zu sehen ob Fehler sowohl in „frei" als auch „User" auftreten um sicherzustellen dass es kein Konfigurationsfehler ist. Die VMs können auf der PAW ausgeführt werden, besser jedoch irgendwo separat.
App auf „frei" herunterladen und auf der PAW das Zertifikat konfigurieren. Dann kann auch nix böses passieren.