我已经设置了一个基本的组策略,其中包含默认的Applocker规则.根据微软
technet article的主题,任何未明确允许由策略运行的文件都应该被阻止运行.部署此策略并验证它是否正在使用gpresult应用于正确的用户后,我仍然可以从Internet下载并运行exe,这是一个保存到用户配置文件临时文件夹的exe.就在那时我做了更多的谷歌搜索,并看到App Identity服务必须运行,而不是:所以,就像任何好的管理员一样,我启动它,将其设置为自动,并重新启动以防万一.重新启动后,该策略仍然无效.以下是当前政策的屏幕截图.
我明确添加了拒绝规则,因为默认规则不起作用.我正确地将策略应用于计算机并验证规则是否已实施(在屏幕截图中如此说明).我使用Test-AppLockerPolicy cmdlet验证规则应该阻止EXE和MSI运行,但事实并非如此.对大多数建议持开放态度,无论听起来多么荒谬.
更新
忘记添加我在整个惨败期间检查了AppLocker的事件日志,它是空白的.整个时间都没有一个条目.
如果您的路径块未正确定义,那么这将解释您的情况.
例如,如果您要使用%userprofile%环境变量. GPO / AppLocker只提供了一部分环境变量,而这些变量不是其中之一.
我已成功使用以下路径规则:
%osdrive%\users\*