Tudo diz que Applocker deve funcionar: por que não?

10

Eu configurei uma política de grupo básica que consiste nas regras padrão do Applocker. De acordo com o artigo técnico da Microsoft sobre o assunto, todos os arquivos que não têm permissão explícita de executar pela política devem ser impedidos de executar. Depois de implantar essa política e verificar se ela estava sendo aplicada ao usuário correto gpresult, ainda consegui baixar e executar um exe da Internet, um exe que foi salvo na pasta temporária do perfil do usuário. Foi nesse momento que eu pesquisei mais no Google e vi que o serviço App Identity precisava estar em execução, e não estava: Então, como qualquer bom administrador, eu o iniciei, configurei para automático e reiniciei por precaução. A política ainda não funcionou após o reinício. Abaixo está uma captura de tela da política atual.

insira a descrição da imagem aqui

Eu adicionei as regras de negação explicitamente porque as regras padrão não estavam funcionando. Eu apliquei corretamente a política à máquina e verifiquei se as regras são aplicadas (o mesmo diz na captura de tela). Usei o Test-AppLockerPolicycmdlet para verificar se a regra deve impedir a execução de EXEs e MSIs, mas não. Aberto a muitas sugestões, por mais ridículas que pareçam.

Atualizar

Esqueci de acrescentar que verifiquei o log de eventos do AppLocker durante todo esse fiasco e ele estava em branco. Nem uma única entrada o tempo todo.

MDMoore313
fonte
2
Procure no log de eventos em Applications and Services Logs-> Microsoft-> Windows-> AppLocker. Nesses logs, você deve ver a mensagem permitida / negada e também "A política do AppLocker foi aplicada com sucesso a este computador".
longneck
2
Além disso, você pode definir sua Diretiva de Grupo que contém suas regras do AppLocker para também iniciar o serviço de Identidade do Aplicativo.
longneck
@ longneck você está certo 100%: esqueci de acrescentar que verifiquei esse log e ele estava em branco! E sim, eventualmente, se eu acertar essa política, adicionarei esse serviço para iniciar automaticamente através do mesmo GPO para garantir a consistência.
MDMoore313
Existem regras separadas para "Regras do Windows Installer". Não sei se isso é relevante para o seu EXE, mas vale a pena dar uma olhada. Se você soltar uma cópia do EXE de um programa instalado (winword.exe, etc.) em uma pasta que não é permitida nas Regras Executáveis, o usuário poderá executá-lo?
joeqwerty
1
O usuário é um administrador local? A máquina é Windows 7 Pro?
joeqwerty

Respostas:

3

Se o seu bloco de caminho não foi definido corretamente, isso explicaria sua situação.

Por exemplo, se você usasse a variável de ambiente% userprofile%. Há apenas um subconjunto das variáveis ​​de ambiente disponíveis no GPO / AppLocker e essa não é uma delas.

Eu tive sucesso com a seguinte regra de caminho:

%osdrive%\users\*
Fannar Levy
fonte
Destacado aqui. Corri exatamente o mesmo problema ao usar o% userprofile% EV, onde ele não funcionaria. Mas mudar para o% osdrive% \ users * fez o truque.
Get-HomeByFiveOClock
Trabalhos trocados, por alguma razão eu não vi essa resposta antes de sair (julho de 14), eu definitivamente tentaria, parece o culpado.
MDMoore313
1

Esse é um thread antigo, mas me deparei com ele ao implementar o AppLocker em nossa própria rede.

O AppLocker requer o uso do serviço Application Identity, que é definido como Manual em uma instalação padrão do Win7 / Server 2008 R2. Você deve definir o serviço Identidade do aplicativo como Inicialização automática ou as regras não serão aplicadas. Você pode fazer isso com o objeto de diretiva de grupo em que as regras do AppLocker são definidas.

Wes Sayeed
fonte
Sup Wes! Sim, eu vi isso também, configurá-lo para auto sem sucesso, espero que este tópico tenha ajudado você
#
1
Ele fez :-) Funciona bem com o Win7. Win10 é outra história. Não é possível alterar o tipo de inicialização do serviço. Iria postar outra pergunta para isso. Encontrei seu tópico enquanto procurava ajuda com os aplicativos AppLocker e ClickOnce.
Wes Sayeed