Я работаю над внедрением AppLocker, но у меня возникают проблемы с его включением. У меня есть одно подразделение с одним сервером и одним связанным GPO. Для этого объекта групповой политики включены только следующие параметры AppLocker:
Я делаю gpupdate на своей тестовой рабочей станции, а затем gpresult / H C: \ file.html. Я проверяю файл и вижу, что мой тестовый объект групповой политики был применен, и углубляюсь в группы, чтобы найти примененные мои правила (я не вижу других правил для управления приложениями из других объектов групповой политики). Я включаю службу идентификации приложения и обнаруживаю, что не могу ничего запустить из любого места, даже если щелкну правой кнопкой мыши и выберу "Запуск от имени администратора".
Что мне здесь не хватает? Четыре правила (три по умолчанию, одно пользовательское) должны позволять запускать что угодно кому угодно из любой точки системы. Тот факт, что установлен ТОЛЬКО ПРОВЕРКА, должен только регистрировать этот материал в журнале событий, а не ограничивать использование. Ничего из этого не происходит.
РЕДАКТИРОВАТЬ: Я в растерянности. Я выполнил следующую команду ...
Get-ChildItem 'C:\' -Recurse | ? {$_.Name -like '*.exe'} | ForEach-Object{ Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path $_.FullName -User (domain\admin | domain\user | visitor) | Format-List -Property FilePath,PolicyDecision}
... со слегка измененными правилами по умолчанию (целевая группа; Все> Прошедшие проверку) на месте (AuthenticatedUsers:% PROGRAMFILES% *, AuthenticatedUsers:% / WINDOWS% *, BUILTIN \ Administrators: *) ...
... и результаты показывают, что
Однако, когда я включаю службу Application Identity, я могу запускать файлы в любом месте ОС как обычный пользователь домена, когда я могу запускать только exe-файлы из Program Files и Windows. Я не могу использовать нашу гостевую учетную запись для тестирования функциональности, но я могу представить, что она дает тот же результат, что и обычный пользователь домена. Администратор домена, похоже, работает так, как должен (выполнять что угодно и где угодно в системе).
Он создает запись в журнале событий только в том случае, если что-то будет заблокировано. Вы создали правило, которое разрешает все, что противоречит цели даже использования AppLocker, если только вы не собираетесь использовать его для внесения в черный список.