我正在实施 AppLocker,但在启用它时遇到了一些问题。我有一个 OU,其中包含一个服务器和一个 GPO。此 GPO 仅启用了以下 AppLocker 设置:
- 所有规则均设置为仅审计
- 默认可执行规则
- 允许 EVERYONE 组在任何地方运行任何内容的单一自定义规则(路径规则,*)
我在测试工作站上执行了 gpupdate,然后执行了 gpresult /HC:\file.html。我检查了文件,发现我的测试 GPO 已应用,然后深入到组中以查找已应用的规则(我没有看到其他 GPO 中的应用程序控制规则)。我打开应用程序标识服务,发现我无法从任何地方启动任何东西,即使我右键单击并以管理员身份运行。
我这里漏掉了什么?这四条规则(三条默认规则,一条自定义规则)应该允许任何人从系统的任何位置运行任何内容。设置了 AUDIT ONLY 的事实应该只将这些内容记录在事件日志中,而不是实际限制使用。这两件事都没有发生。
编辑:我不知所措。我运行了以下命令...
Get-ChildItem 'C:\' -Recurse | ? {$_.Name -like '*.exe'} | ForEach-Object{ Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path $_.FullName -User (domain\admin | domain\user | visitor) | Format-List -Property FilePath,PolicyDecision}
...稍微调整了默认规则(目标群体;所有人 > 经过身份验证的用户)(AuthenticatedUsers:%PROGRAMFILES%*,AuthenticatedUsers:%/WINDOWS%*,BUILTIN \ Administrators:*)...
...结果表明
- 作为我自己(域管理员),每个可执行文件的策略决定都是允许的。
- 作为访客(我们重命名的来宾帐户),每个可执行文件上的策略决定都是默认拒绝。
- 作为域用户(本地组:RDP 用户),每个可执行文件的策略决策因位置而异;程序文件:允许,C:\WinDirStat\WinDirStat.exe:默认拒绝,Windows:允许。
但是,当我启用应用程序标识服务时,我能够以普通域用户的身份在操作系统的任何位置运行文件,而我只能从 Program Files 和 Windows 运行 exe 文件。我无法使用我们的访客帐户来测试功能,但我想它会看到与普通域用户相同的结果。域管理员似乎正在按预期工作(在系统的任何位置执行任何操作)。
答案1
只有在需要阻止某些操作时,它才会创建事件日志条目。您创建了一条允许所有操作的规则,这违背了使用 AppLocker 的目的,除非您要将其用于黑名单。