Eu configurei uma política de grupo básica que consiste nas regras padrão do Applocker. De acordo com o artigo de technet da Microsoft sobre o assunto, quaisquer arquivos que não sejam explicitamente permitidos para serem executados pela política são < em> supostamente a ser bloqueado da execução. Depois de implantar esta política e verificar que ela estava sendo aplicada ao usuário correto usando gpresult , ainda consegui baixar e executar um exe da Internet, um exe que foi salvo na pasta temp do perfil do usuário. Foi nesse ponto que fiz mais pesquisas e vi que o serviço App Identity precisava estar em execução, e não foi: Então, como qualquer bom administrador, eu iniciei, configurei para automático e reiniciei por precaução. A política ainda não funcionou após o reinício. Abaixo está uma captura de tela da política atual.
Adicionei as regras de negação explicitamente porque as regras padrão não estavam funcionando. Eu apliquei corretamente a política para a máquina e verifiquei que as regras são aplicadas (isso é dito na captura de tela). Usei o cmdlet Test-AppLockerPolicy para verificar se a regra deve estar bloqueando a execução dos EXEs e MSIs, mas isso não acontece. Aberto à maioria das sugestões, não importa o quão ridículas elas possam parecer.
Atualizar
Esqueci de adicionar que verifiquei o log de eventos do AppLocker durante todo esse fiasco e estava em branco. Não é uma única entrada o tempo todo.
Se o seu bloco de caminho não foi definido corretamente, isso explicaria a situação.
Por exemplo, se você fosse usar a variável de ambiente% userprofile%. Há apenas um subconjunto das variáveis de ambiente disponíveis por meio do GPO / AppLocker e não é uma delas.
Eu tive sucesso com a seguinte regra de caminho:
%osdrive%\users\*
Este é um tópico antigo, mas descobri isso ao implementar o AppLocker em nossa própria rede.
O AppLocker requer o uso do serviço Identidade do Aplicativo, que é definido como Manual em uma instalação padrão do Win7 / Server 2008 R2. Você deve definir o serviço de identidade do aplicativo para inicialização automática ou as regras não serão aplicadas. Você pode fazer isso com o objeto de Diretiva de Grupo em que as regras do AppLocker estão definidas.