我已经设置了一个由默认 Applocker 规则组成的基本组策略。根据 Microsoft 的technet 文章关于主题,任何未明确允许由策略运行的文件都是应该被阻止运行。部署此策略并使用 验证它是否应用于正确的用户后gpresult,我仍然能够从互联网下载并运行一个 exe,该 exe 保存在用户配置文件的临时文件夹中。就在那时,我进行了更多的谷歌搜索,发现 App Identity 服务必须运行,但它没有运行:因此,像任何优秀的管理员一样,我启动了它,将其设置为自动,然后重新启动以防万一。重新启动后,该策略仍然不起作用。以下是当前策略的屏幕截图。
我明确添加了拒绝规则,因为默认规则不起作用。我正确地将策略应用于机器并验证规则是否得到执行(屏幕截图中显示)。我使用 cmdletTest-AppLockerPolicy验证规则是否应该阻止 EXE 和 MSI 运行,但事实并非如此。接受大多数建议,无论它们听起来多么荒谬。
更新
忘记补充一下,我检查了整个事件过程中的 AppLocker 事件日志,发现它是空白的。整个过程中没有一条记录。
答案1
如果您的路径块没有正确定义那么这可以解释您的情况。
例如,如果您要使用 %userprofile% 环境变量。通过 GPO/AppLocker 可用的环境变量只有一小部分,而这不是其中之一。
我已经成功使用以下路径规则:
%osdrive%\users\*
答案2
这是一个老话题,但我在我们自己的网络上实施 AppLocker 时遇到了它。
AppLocker 需要使用应用程序标识服务,该服务在 Win7/Server 2008 R2 的默认安装中设置为手动。您必须将应用程序标识服务设置为自动启动,否则规则将不会强制执行。您可以使用定义 AppLocker 规则的组策略对象来执行此操作。