11 votos

Todo dice que Applocker debería funcionar: ¿Por qué no lo hace?

He configurado una política de grupo básica que consiste en las reglas predeterminadas de Applocker. De acuerdo con la información de Microsoft artículo de technet sobre el tema, cualquier archivo que no esté explícitamente permitido ejecutar por la política es supuestamente que se bloquee su funcionamiento. Después de desplegar esta política y verificar que se aplicaba al usuario correcto mediante gpresult En el caso de los usuarios de la red, todavía pude descargar y ejecutar un exe de Internet, un exe que se guardó en la carpeta temporal del perfil del usuario. Fue en ese momento que busqué más en Google, y vi que el servicio de App Identity tenía que estar funcionando, y no lo estaba: Así que, como cualquier buen administrador, lo inicié, lo puse en automático y reinicié por si acaso. La política seguía sin funcionar después de reiniciar. A continuación se muestra una captura de pantalla de la política actual.

enter image description here

Añadí las reglas de denegación explícitamente porque las reglas por defecto no funcionaban. Apliqué correctamente la política a la máquina y verifiqué que las reglas se aplican (lo dice en la captura de pantalla). Utilicé el Test-AppLockerPolicy cmdlet para verificar que la regla debería bloquear la ejecución de los EXE y MSI, pero no lo hace. Abierto a la mayoría de las sugerencias, no importa lo ridículas que puedan parecer.

Actualización

Me olvidé de añadir que comprobé el registro de eventos de AppLocker durante todo este fiasco, y estaba en blanco. Ni una sola entrada en todo el tiempo.

2 votos

Busque en el registro de eventos en Applications and Services Logs -> Microsoft -> Windows -> AppLocker . En esos registros debería ver el mensaje de permitido/denegado, y también "La política de AppLocker se aplicó con éxito a este equipo".

2 votos

Además, puede configurar la directiva de grupo que contiene las reglas de AppLocker para que también inicie el servicio Application Identity.

0 votos

@longneck tienes razón al 100%: ¡Se me olvidó añadir que revisé ese registro y estaba en blanco! Y sí, eventualmente si consigo que esta política funcione bien añadiré ese servicio para que se inicie automáticamente a través del mismo gpo por coherencia.

4voto

Fannar Levy Puntos 91

Si el bloque de la ruta no se definió correctamente, eso explicaría su situación.

Por ejemplo, si se utiliza la variable de entorno %userprofile%. Solo hay un subconjunto de variables de entorno disponibles a través de GPO/AppLocker y esa no es una de ellas.

He tenido éxito con la siguiente regla de ruta:

%osdrive%\users\*

0 votos

Aquí lo secundo. Me encontré con el mismo problema con el uso de la %userprofile% EV donde no funcionaría. Pero el cambio a la %osdrive% \users * hizo el truco.

0 votos

Cambié de trabajo, por alguna razón no vi esta respuesta antes de irme (julio '14), definitivamente lo hubiera probado, suena como el culpable.

1voto

Wes Sayeed Puntos 461

Este es un hilo antiguo pero me lo encontré al implementar AppLocker en nuestra propia red.

AppLocker requiere el uso del servicio Application Identity, que está configurado como Manual en una instalación por defecto de Win7/Server 2008 R2. Debe establecer el servicio Application Identity en inicio automático o las reglas no se aplicarán. Puede hacerlo con el objeto de la directiva de grupo donde se definen las reglas de AppLocker.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X