目前,我的网络 (Windows Server 2008 R2) 采用应用程序白名单组策略(仅运行指定的 Windows 应用程序)。有时我会遇到一个程序,即使我将能看到的所有 .exe 都列入白名单,用户计算机上仍然会弹出组策略错误消息。(用户运行的是 Windows 7)
是否有可用的工具或日志,让我可以看到在尝试运行某个应用程序时究竟是什么“触发”了组策略?
这篇文章几乎就是我所寻找的:如何知道组策略何时阻止了应用程序但是列出的事件 ID(或任何类似内容)没有出现在我的服务器日志中,所以我猜测 Server 2008 的日志记录已经发生了变化?
4-26 编辑 我还没有使用 AppLocker,我实际上正在使用组策略(仅运行指定的 Windows 应用程序)
4-28 编辑 我发现唯一有效的方法是使用进程监视器程序,并在出现错误消息时检查正在运行的每个可执行文件的列表。这真的没有记录在任何地方吗?甚至在机器本地?
答案1
你是大概使用 AppLocker,它有自己的事件日志。
Application and Services Logs
Microsoft
Windows
AppLocker
当程序被 AppLocker 阻止运行时,它会在那里记录事件。