Alles sagt, dass Applocker funktionieren soll: Warum nicht?

10

Ich habe eine grundlegende Gruppenrichtlinie eingerichtet, die aus den Standardregeln für Applocker besteht. Per Microsoft Technet - Artikel zu diesem Thema, alle Dateien nicht explizit durch die Politik dürfen ausgeführt werden soll vom Laufen blockiert werden. Nachdem gpresultich diese Richtlinie bereitgestellt und überprüft hatte, ob sie auf den richtigen Benutzer angewendet wurde , konnte ich weiterhin eine Exe aus dem Internet herunterladen und ausführen, eine Exe, die im temporären Ordner des Benutzerprofils gespeichert wurde. Zu diesem Zeitpunkt habe ich mehr gegoogelt und festgestellt, dass der App Identity-Dienst ausgeführt werden muss, und das war nicht der Fall: Wie bei jedem guten Administrator habe ich ihn gestartet, auf automatisch eingestellt und für alle Fälle neu gestartet. Die Richtlinie funktionierte nach dem Neustart immer noch nicht. Unten finden Sie einen Screenshot der aktuellen Richtlinie.

Geben Sie hier die Bildbeschreibung ein

Ich habe die Verweigerungsregeln explizit hinzugefügt, da die Standardregeln nicht funktionierten. Ich habe die Richtlinie korrekt auf den Computer angewendet und überprüft, ob die Regeln durchgesetzt wurden (dies wird im Screenshot angegeben). Ich habe das Test-AppLockerPolicyCmdlet verwendet, um zu überprüfen, ob die Regel die Ausführung der EXE- und MSI-Dateien blockieren soll, dies ist jedoch nicht der Fall. Offen für die meisten Vorschläge, egal wie lächerlich sie klingen mögen.

Aktualisieren

Ich habe vergessen hinzuzufügen, dass ich das Ereignisprotokoll während dieses ganzen Fiaskos auf AppLocker überprüft habe und es leer war. Kein einziger Eintrag die ganze Zeit.

windows-7 group-policy applocker MDMoore313
quelle
2
Schauen Sie im Ereignisprotokoll unter Applications and Services Logs-> Microsoft-> Windows-> nach AppLocker. In diesen Protokollen sollte die Meldung "Zulässig / Verweigert" sowie "Die AppLocker-Richtlinie wurde erfolgreich auf diesen Computer angewendet" angezeigt.
Longneck
2
Sie können auch Ihre Gruppenrichtlinie festlegen, die Ihre AppLocker-Regeln enthält, um auch den Anwendungsidentitätsdienst zu starten.
Longneck
@ Longneck Sie haben Recht 100%: Ich habe vergessen hinzuzufügen, dass ich dieses Protokoll überprüft habe, und es war leer! Und ja, wenn diese Richtlinie funktioniert, füge ich diesen Dienst hinzu, um aus Gründen der Konsistenz automatisch über dieselbe GPO zu starten.
MDMoore313
Es gibt separate Regeln für "Windows Installer Rules". Ich weiß nicht, ob das für Ihre EXE relevant ist, aber es ist einen Blick wert. Wenn Sie eine Kopie der EXE-Datei eines installierten Programms (winword.exe usw.) in einem Ordner ablegen, der in Ihren ausführbaren Regeln nicht zulässig ist, kann der Benutzer sie dann ausführen?
Joeqwerty
1
Ist der Benutzer ein lokaler Administrator? Ist der Computer Windows 7 Pro?
Joeqwerty

Antworten:

3

Wenn Ihr Pfadblock nicht richtig definiert wurde, würde dies Ihre Situation erklären.

Zum Beispiel, wenn Sie die Umgebungsvariable% userprofile% verwenden. Es gibt nur eine Teilmenge der Umgebungsvariablen, die über GPO / AppLocker verfügbar sind, und das ist keine davon.

Ich hatte Erfolg mit der folgenden Pfadregel:

%osdrive%\users\*
Fannar Levy
quelle
Hier abgeordnet. Ich bin auf genau das gleiche Problem bei der Verwendung von% userprofile% EV gestoßen, bei dem es nicht funktionieren würde. Die Umstellung auf% osdrive% \ users * hat jedoch den Trick getan.
Get-HomeByFiveOClock
Job gewechselt, aus irgendeinem Grund habe ich diese Antwort nicht gesehen, bevor ich gegangen bin (Juli '14), ich hätte es definitiv versucht, es klingt wie der Schuldige.
MDMoore313
1

Dies ist ein alter Thread, aber ich bin auf ihn gestoßen, als ich AppLocker in unserem eigenen Netzwerk implementiert habe.

AppLocker erfordert die Verwendung des Application Identity-Dienstes, der bei einer Standardinstallation von Win7 / Server 2008 R2 auf Manuell eingestellt ist. Sie müssen den Anwendungsidentitätsdienst auf Automatischer Start einstellen, da sonst die Regeln nicht durchgesetzt werden. Sie können dies mit dem Gruppenrichtlinienobjekt tun, in dem AppLocker-Regeln definiert sind.

Wes Sayeed
quelle
Sup Wes! Ja, ich habe das auch gesehen, setze es auf Auto ohne Erfolg, hoffe, dieser Thread hat dir trotzdem geholfen
MDMoore313
1
Es hat funktioniert :-) Es funktioniert gut mit Win7. Win10 ist eine andere Geschichte. Der Starttyp des Dienstes kann nicht einmal geändert werden. Wollte noch eine Frage dazu posten. Ich bin auf Ihren Thread gestoßen, als ich nach Hilfe mit AppLocker- und ClickOnce-Anwendungen gesucht habe.
Wes Sayeed