Назад | Перейти на главную страницу

Все говорят, что Applocker должен работать: почему это не так?

Я установил базовую групповую политику, состоящую из правил Applocker по умолчанию. Согласно Microsoft статья в технике по этому поводу, любые файлы, которые явно не разрешены для запуска политикой, являются предполагаемый быть заблокированным от запуска. После развертывания этой политики и проверки ее применения к правильному пользователю с помощью gpresult, Я все еще мог загрузить и запустить исполняемый файл из Интернета, исполняемый файл, который был сохранен во временной папке профиля пользователя. Именно в этот момент я еще раз погуглил и увидел, что служба App Identity должна быть запущена, а это не так: Итак, как и любой хороший администратор, я запустил ее, установил автоматический режим и на всякий случай перезагрузил. Политика по-прежнему не работала после перезапуска. Ниже приведен снимок экрана с текущей политикой.

Я добавил правила запрета явно, потому что правила по умолчанию не работали. Я правильно применил политику к машине и убедился, что правила соблюдаются (это указано на скриншоте). Я использовал Test-AppLockerPolicy командлет, чтобы убедиться, что правило должно блокировать запуск EXE и MSI, но это не так. Открыт для большинства предложений, какими бы нелепыми они ни казались.

Обновить

Забыл добавить, что я проверил журнал событий для AppLocker во время всего этого фиаско, и он был пустым. Ни одной записи за все время.

Если ваш блок пути был определен неправильно, это объяснит вам ситуацию.

Например, если вы использовали переменную среды% userprofile%. Есть только подмножество переменных среды, доступных через GPO / AppLocker, и это не одна из них.

Я добился успеха со следующим правилом пути:

%osdrive%\users\*

Это старый поток, но я столкнулся с ним при внедрении AppLocker в нашей собственной сети.

AppLocker требует использования службы Application Identity, для которой установлено значение «Вручную» при установке Win7 / Server 2008 R2 по умолчанию. Вы должны установить для службы идентификации приложения автоматический запуск, иначе правила не будут применяться. Это можно сделать с помощью объекта групповой политики, в котором определены правила AppLocker.