我必须锁定公司的计算机,这样除了预定的任务之外,就很难再用它执行任何操作。作为其中一个步骤,我通过组策略对象限制了允许运行的程序。但是,有时(例如,当我插入 USB 设备时),会弹出一个窗口,通知我我的组策略阻止了某个程序的执行。我该如何追踪那个程序呢?
当我启用任务管理器时,我注意到插入设备时似乎有程序在运行,但它消失得太快,我无法记住它的名字。我似乎也没有在事件日志中找到任何东西。我该如何追踪该程序?
答案1
听起来您没有在目标计算机上启动应用程序标识服务。
- 单击“开始”,键入 services.msc,然后按 ENTER。
- 在服务管理单元控制台中,右键单击“应用程序标识”,然后单击“属性”。
- 在“开始类型”菜单上,单击“自动”,然后单击“确定”
- 在服务管理单元控制台中,右键单击“应用程序标识”,然后单击“启动”以首次启动该服务。
您可能需要考虑使用组策略在计划部署 AppLocker 的所有计算机上自动启动该服务。
AppLocker 日志包含有关受 AppLocker 规则影响的所有应用程序的信息。您可以使用该日志来确定哪些应用程序受规则影响。AppLocker 操作日志中的每个事件都包含有关以下内容的详细信息:
- 哪个文件受到影响以及该文件的路径。
- 是否允许或阻止该文件。
- 规则类型(路径、文件哈希或发布者)。
- 规则名称。
- 目标用户或组的安全标识符 (SID)。
在事件查看器中查看 AppLocker 日志
- 单击“开始”,键入 eventvwr.msc,然后按 ENTER。
- 在事件查看器控制台树中,双击应用程序和服务日志,双击 Microsoft,双击 Windows,双击 AppLocker,然后单击 EXE 和 DLL。
- 查看结果窗格中的条目,确定是否有任何应用程序未包含在您自动生成的规则中。例如,某些业务线应用程序安装到非标准位置,如活动驱动器的根目录 (C:)。