Tout indique qu'Applocker est censé fonctionner: pourquoi pas?

10

J'ai configuré une stratégie de groupe de base composée des règles Applocker par défaut. Selon l' article technique de Microsoft sur le sujet, tous les fichiers qui ne sont pas explicitement autorisés à être exécutés par la stratégie sont censés être bloqués. Après avoir déployé cette stratégie et vérifié qu'elle était appliquée au bon utilisateur à l'aide gpresult, j'ai toujours pu télécharger et exécuter un exe à partir d'Internet, un exe qui a été enregistré dans le dossier temporaire du profil utilisateur. C'est à ce moment-là que j'ai fait plus de recherches sur Google et j'ai vu que le service App Identity devait être en cours d'exécution, mais ce n'était pas le cas: comme tout bon administrateur, je l'ai démarré, réglé sur automatique et redémarré au cas où. La stratégie n'a toujours pas fonctionné après le redémarrage. Voici une capture d'écran de la politique actuelle.

entrez la description de l'image ici

J'ai ajouté les règles de refus explicitement parce que les règles par défaut ne fonctionnaient pas. J'ai correctement appliqué la politique à la machine et vérifié que les règles sont appliquées (cela est indiqué dans la capture d'écran). J'ai utilisé l' Test-AppLockerPolicyapplet de commande pour vérifier que la règle doit empêcher l'exécution des EXE et des MSI, mais ce n'est pas le cas. Ouvert à la plupart des suggestions, aussi ridicules qu'elles puissent paraître.

Mettre à jour

J'ai oublié d'ajouter que j'ai vérifié le journal des événements pour AppLocker pendant tout ce fiasco et qu'il était vide. Pas une seule entrée tout le temps.

MDMoore313
la source
2
Regardez dans le journal des événements sous Applications and Services Logs-> Microsoft-> Windows-> AppLocker. Dans ces journaux, vous devriez voir un message autorisé / refusé, ainsi que «La stratégie AppLocker a été appliquée avec succès à cet ordinateur».
longneck
2
En outre, vous pouvez définir votre stratégie de groupe qui contient vos règles AppLocker pour démarrer également le service d'identité d'application.
longneck
@longneck vous avez raison à 100%: j'ai oublié d'ajouter que j'ai vérifié ce journal, et il était vide! Et oui, finalement si je fais fonctionner cette politique correctement, j'ajouterai ce service pour démarrer automatiquement via le même gpo pour plus de cohérence.
MDMoore313
Il existe des règles distinctes pour les "règles Windows Installer". Je ne sais pas si c'est pertinent pour votre EXE mais ça vaut le coup d'oeil. Si vous déposez une copie de l'EXE d'un programme installé (winword.exe, etc.) dans un dossier qui n'est pas autorisé dans vos règles exécutables, l'utilisateur peut-il l'exécuter?
joeqwerty
1
L'utilisateur est-il un administrateur local? La machine est-elle Windows 7 Pro?
joeqwerty

Réponses:

3

Si votre bloc de chemin n'était pas défini correctement, cela vous expliquerait la situation.

Par exemple, si vous deviez utiliser la variable d'environnement% userprofile%. Il n'y a qu'un sous-ensemble des variables d'environnement disponibles via GPO / AppLocker et ce n'est pas l'une d'entre elles.

J'ai réussi avec la règle de chemin d'accès suivante:

%osdrive%\users\*
Fannar Levy
la source
Appuyé ici. J'ai rencontré exactement le même problème avec l'utilisation du% userprofile% EV où cela ne fonctionnerait pas. Mais le passage au% osdrive% \ users * a fait l'affaire.
Get-HomeByFiveOClock
Emplois changés, pour une raison quelconque, je n'ai pas vu cette réponse avant mon départ (juillet '14), je l'aurais certainement essayé, cela ressemble au coupable.
MDMoore313
1

Il s'agit d'un ancien fil de discussion, mais je l'ai rencontré lors de l'implémentation d'AppLocker sur notre propre réseau.

AppLocker nécessite l'utilisation du service Identité d'application, qui est défini sur Manuel sur une installation par défaut de Win7 / Server 2008 R2. Vous devez définir le service Identité d'application sur Démarrage automatique sinon les règles ne seront pas appliquées. Vous pouvez le faire avec l'objet de stratégie de groupe dans lequel les règles AppLocker sont définies.

Wes Sayeed
la source
Sup Wes! Oui, je l'ai vu aussi, réglez-le sur auto en vain, j'espère que ce fil vous a bien aidé
MDMoore313
1
Il l'a fait :-) Cela fonctionne très bien avec Win7. Win10 est une autre histoire. Impossible même de changer le type de démarrage du service. J'allais poster une autre question pour ça. Je suis tombé sur votre fil en cherchant de l'aide avec les applications AppLocker et ClickOnce.
Wes Sayeed