Wszystko mówi, że Applocker powinien działać: Dlaczego nie działa?

10

Mam skonfigurowane podstawowe zasady grupy składające się z domyślnych reguł Applocker. Zgodnie z artykułem Microsoft na ten temat, wszelkie pliki, które nie są wyraźnie dozwolone przez zasady, powinny być zablokowane. Po wdrożeniu tej zasady i sprawdzeniu, czy została zastosowana do właściwego użytkownika przy użyciu gpresult, nadal byłem w stanie pobrać i uruchomić plik exe z Internetu, plik zapisany w folderze tymczasowym profilu użytkownika. W tym momencie zrobiłem więcej googlowania i zobaczyłem, że usługa App Identity musi być uruchomiona, a tak nie było: Więc, jak każdy dobry administrator, uruchomiłem ją, ustawiłem na automatyczną i na wszelki wypadek uruchomiłem ponownie. Zasady nadal nie działały po ponownym uruchomieniu. Poniżej znajduje się zrzut ekranu bieżącej polityki.

wprowadź opis zdjęcia tutaj

Jawnie dodałem reguły odmowy, ponieważ reguły domyślne nie działały. Poprawnie zastosowałem zasadę na maszynie i zweryfikowałem, że reguły są egzekwowane (tak to pokazano na zrzucie ekranu). Użyłem polecenia Test-AppLockerPolicycmdlet, aby sprawdzić, czy reguła powinna blokować uruchamianie plików EXE i MSI, ale tak nie jest. Otwarty na większość sugestii, bez względu na to, jak absurdalnie mogą brzmieć.

Aktualizacja

Zapomniałem dodać, że sprawdziłem dziennik zdarzeń dla AppLocker podczas całego fiaska i był pusty. Cały czas ani jednego wpisu.

MDMoore313
źródło
2
Przejrzyj dziennik zdarzeń w sekcji Applications and Services Logs-> Microsoft-> Windows-> AppLocker. W tych dziennikach powinieneś zobaczyć komunikat dozwolony / odrzucony, a także „Zasady AppLocker zostały pomyślnie zastosowane na tym komputerze”.
longneck
2
Możesz także ustawić swoje zasady grupy, które zawierają reguły AppLocker, aby uruchamiać również usługę tożsamości aplikacji.
longneck
@ Longneck masz rację 100%: Zapomniałem dodać, że sprawdziłem ten dziennik i był pusty! I tak, w końcu, jeśli poprawię funkcjonowanie tej zasady, dodam tę usługę, aby automatycznie uruchamiała się przez to samo GPO w celu zachowania spójności.
MDMoore313
Istnieją osobne reguły dla „Reguł Instalatora Windows”. Nie wiem, czy dotyczy to Twojego pliku EXE, ale warto to sprawdzić. Jeśli upuścisz kopię pliku EXE zainstalowanego programu (winword.exe itp.) W folderze, który nie jest dozwolony w twoich regułach wykonywalnych, to czy użytkownik może go wykonać?
joeqwerty
1
Czy użytkownik jest lokalnym administratorem? Czy maszyna to Windows 7 Pro?
joeqwerty

Odpowiedzi:

3

Jeśli blok ścieżki nie został poprawnie zdefiniowany, to wyjaśniłoby ci sytuację.

Na przykład, jeśli chcesz użyć zmiennej środowiskowej% userprofile%. Istnieje tylko podzbiór zmiennych środowiskowych dostępnych przez GPO / AppLocker i to nie jest jedna z nich.

Odniosłem sukces dzięki następującej zasadzie ścieżki:

%osdrive%\users\*
Fannar Levy
źródło
Oddelegowany tutaj. Natrafiłem na ten sam problem z użyciem% userprofile% EV, gdzie to nie zadziałało. Ale przejście na% osdrive% \ users * załatwiło sprawę.
Get-HomeByFiveOClock
Zmiana pracy, z jakiegoś powodu nie widziałem tej odpowiedzi przed wyjazdem (lipiec 14), zdecydowanie bym spróbował, to brzmi jak winowajca.
MDMoore313
1

To jest stary wątek, ale natknąłem się na niego podczas wdrażania AppLocker w naszej własnej sieci.

AppLocker wymaga użycia usługi tożsamości aplikacji, która jest ustawiona na Ręcznie w domyślnej instalacji Win7 / Server 2008 R2. Musisz ustawić usługę Tożsamość aplikacji na Automatyczne uruchamianie, w przeciwnym razie reguły nie będą egzekwowane. Można to zrobić za pomocą obiektu zasad grupy, w którym zdefiniowane są reguły funkcji AppLocker.

Wes Sayeed
źródło
Sup Wes! Tak, też to widziałem, ustaw na auto bezskutecznie, mam nadzieję, że ten wątek ci jednak pomógł
MDMoore313,
1
Udało się :-) Działa dobrze w / Win7. Win10 to inna historia. Nie można nawet zmienić typu uruchamiania usługi. Chciałem zadać kolejne pytanie. Natknąłem się na twój wątek, szukając pomocy w aplikacjach AppLocker i ClickOnce.
Wes Sayeed,