सब कुछ कहता है कि Applocker काम करने वाला है: ऐसा क्यों नहीं होता?

मैंने मूलभूत समूह नीति को डिफ़ॉल्ट Applocker नियमों से मिलकर तैयार किया है। इस विषय पर Microsoft के तकनीकी लेख के अनुसार , किसी भी फ़ाइल को नीति द्वारा स्पष्ट रूप से चलाने की अनुमति नहीं है, इसे चलाने से अवरुद्ध माना जाता है। इस नीति को लागू करने और सत्यापित करने के बाद इसे सही उपयोगकर्ता के उपयोग के लिए लागू किया जा gpresultरहा था, मैं अभी भी इंटरनेट से एक exe को डाउनलोड करने और चलाने में सक्षम था, एक ऐसा उपयोगकर्ता जो उपयोगकर्ता प्रोफ़ाइल के अस्थायी फ़ोल्डर में सहेजा गया था। यह उस समय था जब मैंने अधिक गोलगप्पे किए, और देखा कि ऐप आइडेंटिटी सर्विस चल रही थी, और यह नहीं था: इसलिए, किसी भी अच्छे व्यवस्थापक की तरह, मैंने इसे शुरू किया, इसे स्वचालित पर सेट किया, और बस मामले में रिबूट किया। पुनरारंभ करने के बाद भी नीति काम नहीं करती है। नीचे वर्तमान नीति का एक स्क्रीनशॉट है।

यहाँ छवि विवरण दर्ज करें

मैंने इनकार नियमों को स्पष्ट रूप से जोड़ा क्योंकि डिफ़ॉल्ट नियम काम नहीं कर रहे थे। मैंने मशीन में नीति को सही ढंग से लागू किया और सत्यापित किया कि नियम लागू हैं (यह स्क्रीनशॉट में ऐसा कहता है)। मैंने Test-AppLockerPolicyयह प्रमाणित करने के लिए cmdlet का उपयोग किया कि नियम EXE और MSI को चलने से रोकना चाहिए, लेकिन ऐसा नहीं है। अधिकांश सुझावों के लिए खुला, चाहे वे कितने भी ध्वनि वाले हों।

अपडेट करें

यह जोड़ना भूल गया कि मैंने इस पूरे उपद्रव के दौरान AppLocker के लिए इवेंट लॉग की जाँच की, और यह रिक्त था। पूरे समय एक भी प्रवेश नहीं।

windows-7 group-policy applocker

— MDMoore313
स्रोत

ईवेंट लॉग के तहत Applications and Services Logs-> Microsoft-> Windows-> देखें AppLocker। उन लॉग में आपको अनुमत / अस्वीकृत संदेश देखना चाहिए, और यह भी "इस कंप्यूटर पर AppLocker नीति को सफलतापूर्वक लागू किया गया था।"

— लॉन्गनेक

इसके अलावा, आप अपनी समूह नीति निर्धारित कर सकते हैं जिसमें एप्लिकेशन पहचान सेवा शुरू करने के लिए आपके AppLocker नियम शामिल हैं।

— लॉन्गनेक

@ लॉन्गनेक आप सही हैं 100%: मैं जोड़ना भूल गया कि मैंने उस लॉग की जांच की, और यह रिक्त था! और हां, अंततः अगर मुझे यह नीति ठीक काम करती है तो मैं निरंतरता के लिए उसी gpo के माध्यम से स्वचालित रूप से शुरू करने के लिए उस सेवा को जोड़ दूंगा।

— MDMoore313

"विंडोज इंस्टॉलर नियम" के लिए अलग नियम हैं। मुझे नहीं पता कि यह आपके EXE के लिए प्रासंगिक है लेकिन यह देखने लायक है। यदि आप एक स्थापित प्रोग्राम की EXE (winword.exe, आदि) की एक प्रतिलिपि एक फ़ोल्डर में छोड़ देते हैं जो आपके निष्पादन योग्य नियमों में अनुमति नहीं है, तो क्या उपयोगकर्ता इसे निष्पादित करने में सक्षम है?

— जोकेवेटी

क्या उपयोगकर्ता एक स्थानीय व्यवस्थापक है? क्या मशीन विंडोज 7 प्रो है?

— जॉयकर्टी

जवाबों:

यदि आपका पथ खंड सही ढंग से परिभाषित नहीं किया गया है, तो यह आपको स्थिति की व्याख्या करेगा।

उदाहरण के लिए यदि आप% userprofile% वातावरण चर का उपयोग करने के लिए थे। केवल GPO / AppLocker के माध्यम से उपलब्ध पर्यावरण चर का एक उपसमूह है और यह उनमें से एक नहीं है।

मुझे निम्नलिखित पथ नियम से सफलता मिली है:

%osdrive%\users\*

— फन्नर लेवी
स्रोत

यहां दूसरा है। मैं% userprofile% EV का उपयोग करके ठीक उसी समस्या में भाग गया जहाँ यह काम नहीं करेगा। लेकिन% osdrive% \ Users पर स्विच करना ने चाल चली।

— Get-HomeByFiveOClock

स्विच की गई नौकरियां, किसी कारण से मैंने यह जवाब नहीं देखा, इससे पहले कि मैं (जुलाई '14) छोड़ता, मैंने निश्चित रूप से कोशिश की होती, यह अपराधी की तरह लगता है।

— MDMoore313

यह एक पुराना धागा है लेकिन मैं अपने नेटवर्क पर AppLocker को लागू करते समय इसके पार आया।

AppLocker को एप्लिकेशन पहचान सेवा के उपयोग की आवश्यकता होती है, जो Win7 / Server 2008 R2 की डिफ़ॉल्ट स्थापना पर मैनुअल पर सेट है। आपको एप्लिकेशन पहचान सेवा को स्वचालित स्टार्टअप पर सेट करना होगा या नियम लागू नहीं किए जाएंगे। आप समूह नीति ऑब्जेक्ट के साथ ऐसा कर सकते हैं जहां AppLocker नियमों को परिभाषित किया गया है।

— वेस सईद
स्रोत

सुपर वेस! हाँ, मैंने यह भी देखा, इसे बिना किसी लाभ के ऑटो में सेट कर दिया, आशा है कि इस धागे ने आपकी मदद की है

— MDMoore313

यह किया :-) यह ठीक w / Win7 काम करता है। Win10 एक और कहानी है। स्टार्टअप प्रकार की सेवा भी नहीं बदल सकते। उसके लिए एक और सवाल पोस्ट करने जा रहा था। मदद / AppLocker और ClickOnce अनुप्रयोगों की तलाश करते हुए मैं आपके धागे के पार आया।

— वेस सईद