Все говорить, що Applocker повинен працювати: Чому це не робиться?

Я налаштував основну групову політику, що складається з правил за замовчуванням Applocker. Згідно із статтею про техніку Майкрософт з цього приводу, будь-які файли, яким явно не дозволяється запускати політику, повинні бути заблоковані. Після розгортання цієї політики та переконання, що вона застосовується до потрібного користувача gpresult, я все ще зміг завантажити та запустити exe з Інтернету, exe, який було збережено у темп-папці профілю користувача. Саме в цей момент я зробив ще більше гуглінг і побачив, що служба Identity App повинна працювати, і це не так: Отже, як і будь-який хороший адміністратор, я запустив його, встановив його на автоматичне і перезавантажився на всякий випадок. Після перезавантаження політика все ще не працювала. Нижче наведено скріншот поточної політики.

введіть тут опис зображення

Я чітко додав правила заборони, оскільки правила за замовчуванням не працювали. Я правильно застосував політику до машини і переконався, що правила виконуються (це написано на скріншоті). Я використовував Test-AppLockerPolicyкомандлет, щоб переконатися, що це правило повинно блокувати запуск EXE та MSI, але це не так. Відкриті для більшості пропозицій, якими б смішними вони не звучали.

Оновлення

Забув додати, що я перевірив журнал подій для AppLocker протягом усього цього фіаско, і він був порожнім. Немає жодного запису весь час.

windows-7 group-policy applocker

— MDMoore313
джерело

Подивіться у журналі подій під Applications and Services Logs-> Microsoft-> Windows-> AppLocker. У цих журналах ви повинні бачити дозволене / відхилене повідомлення, а також "Політика програми AppLocker успішно застосована до цього комп'ютера."

— longneck

Крім того, ви можете встановити групову політику, що містить правила AppLocker, щоб також запустити службу Identity Application.

— longneck

@longneck ви праві на 100%: я забув додати, що я перевірив цей журнал, і він був порожнім! І так, зрештою, якщо я зроблю правильну політику, я додаю, що послуга автоматично запускається через ту саму гпо для послідовності.

— MDMoore313

Для "Правил інсталятора Windows" є окремі правила. Я не знаю, чи це стосується вашого EXE, але це варто подивитися. Якщо ви завантажите копію EXE встановленої програми (winword.exe тощо) у папку, яка не дозволена у Ваших виконуваних правилах, чи може користувач виконати її?

— joeqwerty

Користувач місцевий адміністратор? Машина Windows 7 Pro?

— joeqwerty

Відповіді:

Якщо ваш блок шляху не був визначений правильно, то це пояснить вам ситуацію.

Наприклад, якщо ви використовували змінну середовища% userprofile%. Є лише підмножина змінних середовища, доступних через GPO / AppLocker, і це не одна з них.

Я мав успіх із наступним правилом шляху:

%osdrive%\users\*

— Фаннар Леві
джерело

Тут відряджений. Я зіткнувся з точно такою ж проблемою, використовуючи% userprofile% EV там, де це не працюватиме. Але перехід на% osdrive% \ users * зробив свою справу.

— Get-HomeByFiveOClock

Перемкнув роботу, чомусь я не бачив цієї відповіді перед тим, як поїхати (липень 14 року), я б точно це спробував, це звучить як винуватець.

— MDMoore313

Це стара тема, але я натрапив на неї під час впровадження AppLocker у нашій власній мережі.

AppLocker вимагає використання послуги Identity Application, яка встановлена вручну під час встановлення за замовчуванням Win7 / Server 2008 R2. Потрібно встановити службу Identity Application на автоматичний запуск, інакше правила не виконуватимуться. Це можна зробити з об’єктом групової політики, де визначені правила AppLocker.

— Уес Сайед
джерело

Суп Вес! Так, я теж це бачив, налаштував його на автоматичне безрезультатно, сподіваюся, що ця тема допомогла вам, хоча

— MDMoore313

Це зробив :-) Це прекрасно працює з Win7. Win10 - це ще одна історія. Не вдається навіть змінити тип запуску послуги. Збирався до цього поставити ще одне питання. Я натрапив на вашу нитку, шукаючи допомоги в / AppLocker та ClickOnce додатках.

— Wes Sayeed