Todo dice que se supone que Applocker funciona: ¿por qué no?

10

He configurado una política de grupo básica que consta de las reglas predeterminadas de Applocker. Según el artículo de Technet de Microsoft sobre el tema, se supone que cualquier archivo que no esté explícitamente permitido por la política debe estar bloqueado. Después de implementar esta política y verificar que se estaba aplicando al usuario correcto gpresult, todavía podía descargar y ejecutar un exe de Internet, un exe que se guardó en la carpeta temporal del perfil de usuario. Fue en ese momento que busqué más en Google, y vi que el servicio App Identity tenía que estar ejecutándose, y no fue así: así que, como cualquier buen administrador, lo inicié, lo configuré en automático y lo reinicié por si acaso. La política aún no funcionó después de reiniciar. A continuación se muestra una captura de pantalla de la política actual.

ingrese la descripción de la imagen aquí

Agregué las reglas de denegación explícitamente porque las reglas predeterminadas no funcionaban. Apliqué correctamente la política a la máquina y verifiqué que las reglas se aplican (lo dice en la captura de pantalla). Test-AppLockerPolicyUsé el cmdlet para verificar que la regla debería estar bloqueando la ejecución de los EXEs y MSI, pero no es así. Abierto a la mayoría de las sugerencias, no importa cuán ridículas puedan sonar.

Actualizar

Olvidé agregar que revisé el registro de eventos de AppLocker durante todo este fiasco, y estaba en blanco. Ni una sola entrada todo el tiempo.

windows-7 group-policy applocker MDMoore313
fuente
2
Mire en el registro de eventos en Applications and Services Logs-> Microsoft-> Windows-> AppLocker. En esos registros, debería ver el mensaje permitido / denegado, y también "La política de AppLocker se aplicó con éxito a esta computadora".
cuello largo
2
Además, puede establecer su Política de grupo que contiene sus reglas de AppLocker para iniciar también el servicio de Identidad de aplicación.
cuello largo
@longneck tienes razón 100%: Olvidé agregar que revisé ese registro, ¡y estaba en blanco! Y sí, eventualmente si logro que esta política funcione correctamente, agregaré ese servicio para que se inicie automáticamente a través del mismo gpo para mantener la coherencia.
MDMoore313
Hay reglas separadas para las "Reglas de Windows Installer". No sé si eso es relevante para su EXE, pero vale la pena echarle un vistazo. Si suelta una copia del EXE de un programa instalado (winword.exe, etc.) en una carpeta que no está permitida en sus Reglas ejecutables, ¿puede el usuario ejecutarla?
joeqwerty
1
¿Es el usuario un administrador local? ¿La máquina es Windows 7 Pro?
joeqwerty

Respuestas:

3

Si su bloque de ruta no se definió correctamente, eso explicaría su situación.

Por ejemplo, si usara la variable de entorno% userprofile%. Solo hay un subconjunto de las variables de entorno disponibles a través de GPO / AppLocker y esa no es una de ellas.

He tenido éxito con la siguiente regla de ruta:

%osdrive%\users\*
Fannar Levy
fuente
Secundado aquí. Me encontré exactamente con el mismo problema al usar el% userprofile% EV donde no funcionaría. Pero cambiar al% osdrive% \ users * hizo el truco.
Get-HomeByFiveOClock
Trabajos cambiados, por alguna razón no vi esta respuesta antes de irme (julio '14), definitivamente lo habría intentado, parece ser el culpable.
MDMoore313
1

Este es un hilo viejo pero lo encontré al implementar AppLocker en nuestra propia red.

AppLocker requiere el uso del servicio Application Identity, que está configurado en Manual en una instalación predeterminada de Win7 / Server 2008 R2. Debe establecer el servicio de identidad de la aplicación en Inicio automático o las reglas no se aplicarán. Puede hacer esto con el objeto de directiva de grupo donde se definen las reglas de AppLocker.

Wes Sayeed
fuente
Sup Wes! Sí, también lo vi,
configúralo
1
Lo hizo :-) Funciona bien con Win7. Win10 es otra historia. Ni siquiera puedo cambiar el tipo de inicio del servicio. Iba a publicar otra pregunta para eso. Encontré su hilo mientras buscaba ayuda con las aplicaciones AppLocker y ClickOnce.
Wes Sayeed el