Soru Her şey, Applocker'ın çalışması gerektiğini söylüyor: Neden değil?


Varsayılan Applocker kurallarından oluşan temel bir grup kuralı oluşturdum. Microsoft’a göre teknik makale Konuyla ilgili olarak, politika tarafından açıkça yayınlanmasına izin verilmeyen tüm dosyalar sözde koşmaktan engellenmek. Bu politikayı uyguladıktan ve doğrulamayı kullandıktan sonra doğru kullanıcıya gpresultYine de, kullanıcı profilinin geçici klasörüne kaydedilen bir exe olan internetten bir exe indirip çalıştırabiliyordum. Bu noktada daha fazla googling yaptım ve App Identity servisinin çalışıyor olması gerektiğini gördü ve öyle değildi: Yani, herhangi bir iyi yönetici gibi, onu başlattım, otomatik olarak ayarladım ve her ihtimale karşı yeniden başlattım. Politika yeniden başlatıldıktan sonra hala çalışmadı. Aşağıda mevcut politikanın bir ekran görüntüsü.

enter image description here

Reddetme kurallarını açıkça ekledim çünkü varsayılan kurallar çalışmıyordu. Politikayı doğru bir şekilde makineye uyguladı ve kuralların uygulandığını doğruladı (ekran görüntüsünde bunu söylüyor). Kullandım Test-AppLockerPolicy kuralın, EXE'lerin ve MSI'ların çalışmasını engellemesi gerektiğini doğrulamak için cmdlet, ancak yapmaz. Çoğu öneriye açık, ne kadar saçma sesleri duyulursa yaşasınlar.

Güncelleştirme

Bu tüm fiyasko sırasında AppLocker için olay günlüğünü kontrol ettiğimi eklemeyi unuttum ve boştu. Tüm zaman boyunca tek bir giriş değil.


10
2017-10-18 13:26


Menşei


Altındaki etkinlik günlüğüne bakın Applications and Services Logs -> Microsoft -> Windows -> AppLocker. Bu günlüklerde izin verilen / reddedilen iletiyi görmelisiniz ve ayrıca "AppLocker ilkesi bu bilgisayara başarıyla uygulandı." - longneck
Ayrıca, Uygulama Kimliği hizmetini de başlatmak için AppLocker kurallarınızı içeren Grup İlkenizi ayarlayabilirsiniz. - longneck
@longneck haklısınız% 100: Bu kaydı kontrol ettiğimi eklemeyi unuttum ve boştu! Ve evet, sonuç olarak bu politikayı doğru bir şekilde uygularsam, bu hizmeti tutarlılık için aynı gpo üzerinden otomatik olarak başlatacağım. - MDMoore313
"Windows Installer Kuralları" için ayrı kurallar vardır. Bu sizin EXE ile ilgili olup olmadığını bilmiyorum ama bir göz atmaya değer. Yüklü bir programın EXE'sini (winword.exe, vb.) Yürütülebilir Kurallarınızda izin verilmeyen bir klasöre bırakırsanız, kullanıcı bunu çalıştırabilir mi? - joeqwerty
Kullanıcı yerel bir yönetici mi? Makine Windows 7 Pro mu? - joeqwerty


Cevaplar:


Yol bloğunuz doğru tanımlanmadıysa, bu durum size durumu açıklar.

Örneğin,% userprofile% ortam değişkeni kullanacak olsaydınız. GPO / AppLocker ile kullanılabilen ortam değişkenlerinin yalnızca bir alt kümesi vardır ve bunlardan biri değildir.

Aşağıdaki yol kuralıyla başarılı oldum:

%osdrive%\users\*

3
2018-02-21 17:08



Burada ikincisi. Çalışmayacağı% userprofile% EV kullanarak aynı sorunu yaşadım. Ancak,% osdrive% \ users * 'a geçiş yapmak hile yaptı. - Get-HomeByFiveOClock
Anahtarlı işler, nedense bu cevabı görmediğim için (Temmuz '14), kesinlikle denemeliydim, sanki suçlu gibi geliyor. - MDMoore313


Bu eski bir iş parçacığı ancak AppLocker'ı kendi ağımızda uygularken buna rastladım.

AppLocker, Win7 / Server 2008 R2'nin varsayılan yüklemesinde Manuel olarak ayarlanan Uygulama Kimliği hizmetinin kullanılmasını gerektirir. Uygulama Kimliği hizmetini Otomatik başlatmaya ayarlamalısınız veya kurallar zorlanmayacak. AppLocker kurallarının tanımlandığı Grup İlkesi nesnesi ile bunu yapabilirsiniz.


1
2018-04-25 23:20



Sup Wes! Evet, bunu da gördüm, boşuna otomatik olarak ayarla, umarım bu iş parçacığı sana yardım eder. - MDMoore313
Yaptı :-) Bu w / Win7 ile iyi çalışıyor. Win10 başka bir hikaye. Hizmetin başlangıç ​​türünü bile değiştiremezsiniz. Bunun için başka bir soru yollayacaktı. W / AppLocker ve ClickOnce uygulamaları için yardım ararken iş parçanıza rastladım. - Wes Sayeed