我们在 RDS 服务器上运行 AppLocker。我们保留默认规则列表,为自定义应用程序添加允许规则和单个阻止规则。阻止规则会阻止大多数用户的 explorer.exe,阻止他们获得完整的远程桌面 shell,但允许他们运行远程应用程序。
这在 2008 - 2012 R2 期间运行良好。
Windows Server 2016 带来了通用应用程序。将 AppLocker 剥离为默认规则,以本地管理员身份登录(授予在硬盘上运行所有内容的能力!),并且没有其他规则,它会阻止对“设置”应用程序的访问。
尝试打开“设置”应用时显示标准 AppLocker 错误:“此应用已被您的系统管理员阻止。请联系您的系统管理员获取更多信息。”
这令人困惑。AppLocker 似乎无法应对通用应用程序。有人遇到过这种情况吗?
谢谢!
答案1
您所说的错误并不一定意味着它是 Applocker。
Applocker 可以管理通用应用程序,它被称为“套装应用规则“并且您必须在 applocker 策略的“打包应用规则”节点中至少创建默认规则。
您也可以查看 AppLocker 日志: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee844150(v=ws.10)