ทุกอย่างบอกว่า Applocker ควรทำงาน: ทำไมถึงไม่ได้?


10

ฉันได้ตั้งค่านโยบายกลุ่มพื้นฐานประกอบด้วยกฎ Applocker เริ่มต้นแล้ว ตามบทความด้านเทคนิคของ Microsoft เกี่ยวกับเรื่องไฟล์ใด ๆ ที่ไม่ได้รับอนุญาตอย่างชัดเจนให้เรียกใช้โดยนโยบายนี้ควรถูกบล็อกไม่ให้ทำงาน หลังจากปรับใช้นโยบายนี้และตรวจสอบว่ามีการนำไปใช้กับผู้ใช้ที่ถูกต้องgpresultฉันยังสามารถดาวน์โหลดและเรียกใช้ exe จากอินเทอร์เน็ตซึ่งเป็น exe ที่บันทึกไว้ในโฟลเดอร์ชั่วคราวของโปรไฟล์ผู้ใช้ ในตอนนั้นเองที่ฉันทำ googling มากขึ้นและเห็นว่าบริการ App Identity นั้นต้องใช้งานและมันก็ไม่ได้: ดังนั้นอย่างเช่นผู้ดูแลระบบที่ดีฉันเริ่มใช้มันตั้งเป็นอัตโนมัติและรีบูตในกรณี นโยบายยังคงไม่ทำงานหลังจากรีสตาร์ท ด้านล่างเป็นภาพหน้าจอของนโยบายปัจจุบัน

ป้อนคำอธิบายรูปภาพที่นี่

ฉันเพิ่มกฎการปฏิเสธอย่างชัดเจนเนื่องจากกฎเริ่มต้นไม่ทำงาน ฉันใช้นโยบายกับเครื่องอย่างถูกต้องและตรวจสอบว่ามีการบังคับใช้กฎ (กล่าวไว้ในภาพหน้าจอ) ฉันใช้Test-AppLockerPolicycmdlet เพื่อตรวจสอบว่ากฎควรบล็อก EXE และ MSIs ไม่ให้ทำงาน แต่ไม่ทำงาน เปิดรับข้อเสนอแนะส่วนใหญ่ไม่ว่าจะฟังดูน่าหัวเราะก็ตาม

ปรับปรุง

ลืมที่จะเพิ่มว่าฉันตรวจสอบบันทึกเหตุการณ์สำหรับ AppLocker ในระหว่างความล้มเหลวทั้งหมดนี้และมันว่างเปล่า ไม่ใช่รายการเดียวตลอดเวลา


2
ดูในแฟ้มบันทึกเหตุการณ์ภายใต้Applications and Services Logs-> Microsoft-> ->Windows AppLockerในบันทึกเหล่านั้นคุณจะเห็นข้อความอนุญาต / ปฏิเสธและ "นโยบาย AppLocker ถูกนำไปใช้กับคอมพิวเตอร์เครื่องนี้สำเร็จ"
longneck

2
นอกจากนี้คุณสามารถตั้งค่านโยบายกลุ่มของคุณที่มีกฎ AppLocker ของคุณเพื่อเริ่มบริการ Application Identity
longneck

@ longneck คุณถูก 100%: ฉันลืมที่จะเพิ่มว่าฉันตรวจสอบบันทึกนั้นและมันว่างเปล่า! และใช่ในที่สุดหากฉันได้รับนโยบายนี้ทำงานอย่างถูกต้องฉันจะเพิ่มบริการนั้นเพื่อเริ่มต้นโดยอัตโนมัติผ่าน gpo เดียวกันเพื่อความสอดคล้อง
MDMoore313

มีกฎแยกต่างหากสำหรับ "กฎ Windows Installer" ฉันไม่รู้ว่าสิ่งนั้นเกี่ยวข้องกับ EXE ของคุณหรือไม่ หากคุณวางสำเนาของ EXE ของโปรแกรมที่ติดตั้ง (winword.exe ฯลฯ ) ลงในโฟลเดอร์ที่ไม่ได้รับอนุญาตในกฎปฏิบัติการของคุณผู้ใช้จะสามารถดำเนินการได้หรือไม่
joeqwerty

1
ผู้ใช้เป็นผู้ดูแลท้องถิ่นหรือไม่ เป็นเครื่อง Windows 7 Pro หรือไม่?
joeqwerty

คำตอบ:


3

หากบล็อกเส้นทางของคุณไม่ได้กำหนดไว้อย่างถูกต้องนั่นจะอธิบายสถานการณ์ของคุณ

ตัวอย่างเช่นถ้าคุณใช้ตัวแปรสภาพแวดล้อม% userprofile% มีเพียงชุดย่อยของตัวแปรสภาพแวดล้อมที่พร้อมใช้งานผ่าน GPO / AppLocker และนั่นไม่ใช่หนึ่งในนั้น

ฉันประสบความสำเร็จด้วยกฎเส้นทางต่อไปนี้:

%osdrive%\users\*

ลำดับที่สองที่นี่ ฉันพบปัญหาเดียวกันกับการใช้% userprofile% EV ที่มันใช้งานไม่ได้ แต่การเปลี่ยนไปใช้% osdrive% \ users * ได้ทำการหลอกลวง
Get-HomeByFiveOClock

เปลี่ยนงานด้วยเหตุผลบางอย่างที่ฉันไม่เห็นคำตอบนี้ก่อนที่ฉันจะจากไป (กรกฎาคม '14) ฉันจะลองมันอย่างแน่นอนดูเหมือนว่าผู้กระทำผิด
MDMoore313

1

นี่เป็นเธรดเก่า แต่ฉันเจอเมื่อใช้งาน AppLocker ในเครือข่ายของเราเอง

AppLocker ต้องการใช้บริการ Application Identity ซึ่งตั้งค่าเป็น Manual ในการติดตั้งเริ่มต้นของ Win7 / Server 2008 R2 คุณต้องตั้งค่าบริการ Application Application Identity เป็น Automatic startup ไม่เช่นนั้นกฎจะไม่ถูกบังคับใช้ คุณสามารถทำได้ด้วยวัตถุนโยบายกลุ่มที่มีการกำหนดกฎของ AppLocker


Sup Wes! ใช่ฉันเห็นด้วยตั้งค่าให้อัตโนมัติโดยไม่มีประโยชน์หวังว่ากระทู้นี้จะช่วยคุณได้
MDMoore313

1
มันทำได้ :-) มันใช้ได้ดีกับ Win7 Win10 เป็นอีกเรื่องหนึ่ง ไม่สามารถเปลี่ยนประเภทการเริ่มต้นของบริการ กำลังจะโพสต์คำถามอื่นสำหรับสิ่งนั้น ฉันเจอชุดข้อความของคุณพร้อมกับขอความช่วยเหลือด้วยแอพพลิเคชั่น AppLocker และ ClickOnce
Wes Sayeed
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.