Tutto dice che Applocker dovrebbe funzionare: perché non lo fa?

10

Ho impostato un criterio di gruppo di base costituito dalle regole predefinite di Applocker. Secondo l' articolo di Microsoft sul tema, tutti i file non esplicitamente autorizzati a essere eseguiti dal criterio dovrebbero essere bloccati. Dopo aver distribuito questo criterio e verificato che fosse applicato all'utente corretto utilizzando gpresult, ero ancora in grado di scaricare ed eseguire un exe da Internet, un exe salvato nella cartella temporanea del profilo utente. Fu a quel punto che feci più googling e vidi che il servizio App Identity doveva essere in esecuzione, e non lo era: quindi, come qualsiasi buon amministratore, l'ho avviato, impostato su automatico e riavviato per ogni evenienza. Il criterio non funzionava ancora dopo il riavvio. Di seguito è riportato uno screenshot della politica attuale.

inserisci qui la descrizione dell'immagine

Ho aggiunto esplicitamente le regole di rifiuto perché le regole predefinite non funzionavano. Ho applicato correttamente la politica alla macchina e verificato che le regole siano applicate (lo dice nello screenshot). Ho usato il Test-AppLockerPolicycmdlet per verificare che la regola dovrebbe bloccare l'esecuzione di EXE e MSI, ma non è così. Aperto alla maggior parte dei suggerimenti, non importa quanto possano sembrare ridicoli.

Aggiornare

Ho dimenticato di aggiungere che ho controllato il registro eventi per AppLocker durante l'intero fiasco ed era vuoto. Non una sola voce per tutto il tempo.

windows-7  group-policy  applocker 
MDMoore313
fonte
2
Cerca nel registro eventi in Applications and Services Logs-> Microsoft-> Windows-> AppLocker. In quei registri dovresti visualizzare il messaggio consentito / negato e anche "Il criterio AppLocker è stato applicato correttamente a questo computer".
collo lungo,
2
Inoltre, puoi impostare i Criteri di gruppo che contengono le regole di AppLocker per avviare anche il servizio Identità applicazione.
collo lungo,
@longneck hai ragione al 100%: ho dimenticato di aggiungere che ho controllato quel registro ed era vuoto! E sì, alla fine se riuscirò a far funzionare bene questa politica, aggiungerò quel servizio per l'avvio automatico tramite lo stesso oggetto Criteri di gruppo per coerenza.
MDMoore313,
Esistono regole separate per "Regole di Windows Installer". Non so se sia rilevante per il tuo EXE ma vale la pena dare un'occhiata. Se si rilascia una copia del file EXE di un programma installato (winword.exe, ecc.) In una cartella non consentita nelle Regole eseguibili, l'utente è in grado di eseguirlo?
joeqwerty,
1
L'utente è un amministratore locale? La macchina è Windows 7 Pro?
joeqwerty,

Risposte:

3

Se il tuo blocco di percorso non è stato definito correttamente, ciò spiegherebbe la tua situazione.

Ad esempio se si dovesse usare la variabile d'ambiente% userprofile%. Esistono solo un sottoinsieme delle variabili di ambiente disponibili tramite GPO / AppLocker e non è una di queste.

Ho avuto successo con la seguente regola del percorso:

%osdrive%\users\*
Fannar Levy
fonte
Qui distaccato. Ho riscontrato lo stesso identico problema con l'utilizzo di% userprofile% EV in cui non funzionava. Ma passare a% osdrive% \ users * ha funzionato.
Get-HomeByFiveOClock
Lavori cambiati, per qualche motivo non ho visto questa risposta prima di partire (luglio '14), l'avrei sicuramente provato, sembra il colpevole.
MDMoore313,
1

Questo è un vecchio thread ma l'ho trovato durante l'implementazione di AppLocker sulla nostra rete.

AppLocker richiede l'uso del servizio Identità applicazione, impostato su Manuale su un'installazione predefinita di Win7 / Server 2008 R2. È necessario impostare il servizio Identità applicazione su Avvio automatico altrimenti le regole non verranno applicate. Puoi farlo con l'oggetto Criteri di gruppo in cui sono definite le regole di AppLocker.

Wes Sayeed
fonte
Sup Wes! Sì, l'ho visto anche io,
impostalo
1
Ha fatto :-) Funziona bene con Win7. Win10 è un'altra storia. Non è nemmeno possibile modificare il tipo di avvio del servizio. Stava per postare un'altra domanda per quello. Mi sono imbattuto nella tua discussione mentre cercavo aiuto con le applicazioni AppLocker e ClickOnce.
Wes Sayeed,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.