Я работаю над реализацией AppLocker, но у меня возникли некоторые проблемы с его включением. У меня есть одно подразделение с одним сервером и одним связанным GPO. В этом объекте групповой политики включены только следующие параметры AppLocker:
Я делаю gpupdate на своей тестовой рабочей станции, а затем gpresult /HC:\file.html. Я проверяю файл и вижу, что мой тестовый объект групповой политики был применен, и углубляюсь в группы, чтобы найти примененные мои правила (я не вижу других правил для управления приложениями из других объектов групповой политики). Я включаю службу идентификации приложения и обнаруживаю, что не могу ничего запустить из любого места, даже если щелкну правой кнопкой мыши и выберу "Запуск от имени администратора".
Что мне здесь не хватает? Четыре правила (три по умолчанию, одно пользовательское) должны позволять запускать все что угодно из любой точки системы. Тот факт, что установлен ТОЛЬКО ПРОВЕРКА, должен только регистрировать этот материал в журнале событий, а не ограничивать использование. Ничего из этого не происходит.
РЕДАКТИРОВАТЬ: Я проверяю файл и вижу, что мой тестовый объект групповой политики был применен, и углубляюсь в группы, чтобы найти примененные мои правила (я не вижу других правил для управления приложениями из других объектов групповой политики). Я включаю службу идентификации приложения и обнаруживаю, что не могу ничего запустить из любого места, даже если щелкну правой кнопкой мыши и выберу "Запуск от имени администратора".
Что мне здесь не хватает? Четыре правила (три по умолчанию, одно пользовательское) должны позволять запускать все что угодно из любой точки системы. Тот факт, что установлен ТОЛЬКО АУДИТ, должен только регистрировать этот материал в журнале событий, а не ограничивать использование. Ничего из этого не происходит.
РЕДАКТИРОВАТЬ: Я проверяю файл и вижу, что мой тестовый объект групповой политики был применен, и углубляюсь в группы, чтобы найти примененные мои правила (я не вижу других правил для управления приложениями из других объектов групповой политики). Я включаю службу идентификации приложения и обнаруживаю, что не могу ничего запустить из любого места, даже если щелкну правой кнопкой мыши и выберу "Запуск от имени администратора".
Что мне здесь не хватает? Четыре правила (три по умолчанию, одно пользовательское) должны позволять запускать что угодно кому угодно из любой точки системы. Тот факт, что установлен ТОЛЬКО АУДИТ, должен только регистрировать этот материал в журнале событий, а не ограничивать использование. Ничего из этого не происходит.
РЕДАКТИРОВАТЬ:
Что мне здесь не хватает? Четыре правила (три по умолчанию, одно пользовательское) должны позволять запускать все что угодно из любой точки системы. Тот факт, что установлен ТОЛЬКО ПРОВЕРКА, должен только регистрировать этот материал в журнале событий, а не ограничивать использование. Ничего из этого не происходит.
РЕДАКТИРОВАТЬ:
Что мне здесь не хватает? Четыре правила (три по умолчанию, одно пользовательское) должны позволять запускать что угодно кому угодно из любой точки системы. Тот факт, что установлен ТОЛЬКО ПРОВЕРКА, должен только регистрировать этот материал в журнале событий, а не ограничивать использование. Ничего из этого не происходит.
РЕДАКТИРОВАТЬ: Я в недоумении. Я выполнил следующую команду ...
Get-ChildItem 'C:\' -Recurse | ? {$_.Name -like '*.exe'} | ForEach-Object{ Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path $_.FullName -User (domain\admin | domain\user | visitor) | Format-List -Property FilePath,PolicyDecision}
... со слегка измененными правилами по умолчанию (целевая группа; Все> Прошедшие проверку) на месте (AuthenticatedUsers:% PROGRAMFILES% *, AuthenticatedUsers:% / WINDOWS% *, BUILTIN \ Administrators: *) ...
... и результаты показывают, что
Однако, когда я включаю службу идентификации приложения, я m может запускать файлы в любом месте ОС в качестве обычного пользователя домена, тогда как я могу запускать только exe-файлы из программных файлов и Windows. Я не могу использовать нашу гостевую учетную запись для тестирования функциональности, но я могу представить, что она дает тот же результат, что и обычный пользователь домена. Администратор домена, похоже, работает должным образом (выполняет что угодно и где угодно в системе).
Он создает запись в журнале событий только в том случае, если что-то будет заблокировано. Вы создали правило, которое разрешает все, что не позволяет использовать AppLocker, если только вы не собираетесь использовать его для занесения в черный список.
.