Applocker protokolliert in der Ereignissanzeige folgende Einträge unter der EventID 8007:
Das passiert bei mir immer dann, wenn ein Login Script abgearbeitet wird und von Applocker auch erlaubt wird.
Mattias Benninge hat auf Deployment Research über dieses Problem bereits ausführlich berichtet.
Da diese beiden Dateien nach der Ausführung sofort gelöscht werden, ist es nicht ganz einfach, diese Dateien einzufangen und mittels ihres Hash Wertes auf die Whitelist bei Applocker zu stellen. Man kann die beiden Dateien auch ignorieren, wenn der Hash-Wert mit den unten angegeben Werten passt, da ich mir aber immer ein Mail schicken lasse, wenn Applocker eine Ausführung blockt, dann wird bei jedem Login Script, auch wenn es erfolgreich ausgeführt wurde, ein Mail verschickt. Deswegen habe ich die beiden Dateien der Whitelist hinzugefügt.
Ich stelle die beiden Dateien hier zur Verfügung.
Der Hash-Wert beider Dateien ist der gleiche: 6B86B273FF34FCE19D6B804EFF5A3F5747ADA4EAA22F1D49C01E52DDB7875B4B
Powershell um den Hash-Wert nach dem Download zu überprüfen:
C:\PS>Get-AppLockerFileInformation -Path "Pfad_zur_Datei"