如何找出哪些程序被我的组策略阻止了?

如何找出哪些程序被我的组策略阻止了?

我必须锁定公司的计算机,这样除了预定的任务之外,就很难再用它执行任何操作。作为其中一个步骤,我通过组策略对象限制了允许运行的程序。但是,有时(例如,当我插入 USB 设备时),会弹出一个窗口,通知我我的组策略阻止了某个程序的执行。我该如何追踪那个程序呢?

当我启用任务管理器时,我注意到插入设备时似乎有程序在运行,但它消失得太快,我无法记住它的名字。我似乎也没有在事件日志中找到任何东西。我该如何追踪该程序?

答案1

听起来您没有在目标计算机上启动应用程序标识服务。

  1. 单击“开始”,键入 services.msc,然后按 ENTER。
  2. 在服务管理单元控制台中,右键单击“应用程序标识”,然后单击“属性”。
  3. 在“开始类型”菜单上,单击“自动”,然后单击“确定”
  4. 在服务管理单元控制台中,右键单击“应用程序标识”,然后单击“启动”以首次启动该服务。

您可能需要考虑使用组策略在计划部署 AppLocker 的所有计算机上自动启动该服务。

AppLocker 日志包含有关受 AppLocker 规则影响的所有应用程序的信息。您可以使用该日志来确定哪些应用程序受规则影响。AppLocker 操作日志中的每个事件都包含有关以下内容的详细信息:

  • 哪个文件受到影响以及该文件的路径。
  • 是否允许或阻止该文件。
  • 规则类型(路径、文件哈希或发布者)。
  • 规则名称。
  • 目标用户或组的安全标识符 (SID)。

在事件查看器中查看 AppLocker 日志

  1. 单击“开始”,键入 eventvwr.msc,然后按 ENTER。
  2. 在事件查看器控制台树中,双击应用程序和服务日志,双击 Microsoft,双击 Windows,双击 AppLocker,然后单击 EXE 和 DLL。
  3. 查看结果窗格中的条目,确定是否有任何应用程序未包含在您自动生成的规则中。例如,某些业务线应用程序安装到非标准位置,如活动驱动器的根目录 (C:)。

相关内容