Все говорит, что Applocker должен работать: почему нет?

10

Я установил базовую групповую политику, состоящую из правил Applocker по умолчанию. Согласно технической статье Microsoft по этому вопросу, любые файлы, явно не разрешенные для запуска политикой, должны быть заблокированы для запуска. После развертывания этой политики и проверки ее применения к нужному пользователю gpresult, я все еще смог загрузить и запустить exe-файл из Интернета, exe, который был сохранен во временной папке профиля пользователя. Именно в этот момент я стал больше гуглить и увидел, что служба App Identity должна быть запущена, а ее нет: поэтому, как любой хороший администратор, я запустил ее, установил ее на автоматический и перезагрузил на всякий случай. Политика все еще не работала после перезапуска. Ниже приведен скриншот текущей политики.

введите описание изображения здесь

Я добавил правила запрета явно, потому что правила по умолчанию не работали. Я правильно применил политику к машине и проверил, что правила соблюдаются (об этом говорится на скриншоте). Я использовал Test-AppLockerPolicyкомандлет, чтобы убедиться, что правило должно блокировать запуск EXE-файлов и MSI-файлов, но это не так. Открыт для большинства предложений, какими бы нелепыми они ни звучали.

Обновить

Забыл добавить, что я проверял журнал событий для AppLocker во время всего этого фиаско, и он был пустым. Ни одной записи за все время.

windows-7 group-policy applocker MDMoore313
источник
2
Посмотрите в журнале событий под Applications and Services Logs-> Microsoft-> Windows-> AppLocker. В этих журналах вы должны увидеть разрешенное / запрещенное сообщение, а также «Политика AppLocker была успешно применена к этому компьютеру».
longneck
2
Кроме того, вы можете настроить групповую политику, содержащую правила AppLocker, для запуска службы идентификации приложений.
longneck
@ longneck вы правы на 100%: я забыл добавить, что проверил этот журнал, и он был пустым! И да, в конце концов, если я правильно настрою эту политику, я добавлю этот сервис для автоматического запуска через тот же gpo для согласованности.
MDMoore313
Существуют отдельные правила для «Правил установщика Windows». Я не знаю, имеет ли это отношение к вашему EXE, но это стоит посмотреть. Если вы поместите копию установленного EXE-файла программы (winword.exe и т. Д.) В папку, которая не разрешена в ваших Правилах выполнения, сможет ли пользователь выполнить ее?
Joeqwerty
1
Является ли пользователь локальным администратором? Является ли машина Windows 7 Pro?
Joeqwerty

Ответы:

3

Если ваш блок пути не был определен правильно, это объяснило бы вам ситуацию.

Например, если вы должны использовать переменную среды% userprofile%. Существует только подмножество переменных среды, доступных через GPO / AppLocker, и это не одна из них.

Я имел успех со следующим правилом пути:

%osdrive%\users\*
Фаннар Леви
источник
Поселились здесь. Я столкнулся с той же самой проблемой с использованием% userprofile% EV, где он не будет работать. Но переключение на% osdrive% \ users * добилось цели.
Get-HomeByFiveOClock
Сменил работу, по какой-то причине я не увидел этот ответ до того, как ушел (июль 14 года), я бы определенно попробовал его, это звучит как преступник.
MDMoore313
1

Это старый поток, но я столкнулся с ним при реализации AppLocker в нашей собственной сети.

AppLocker требует использования службы идентификации приложений, для которой установлено значение «Вручную» при установке по умолчанию Win7 / Server 2008 R2. Необходимо установить для службы идентификации приложений автоматический запуск, иначе правила не будут применяться. Это можно сделать с помощью объекта групповой политики, в котором определены правила AppLocker.

Уэс Сайид
источник
Сап Уэс! Да, я тоже это видел, установил его на авто безрезультатно, надеюсь, эта ветка вам помогла, хотя
MDMoore313
1
Это сделал :-) Он отлично работает с Win7. Win10 это другая история. Не могу даже изменить тип запуска службы. Собирался опубликовать еще один вопрос для этого. Я наткнулся на вашу ветку, когда искал справку с приложениями AppLocker и ClickOnce.
Уэс Сайид