He configurado una política de grupo básica que consiste en las reglas predeterminadas de Applocker. De acuerdo con la información de Microsoft artículo de technet sobre el tema, cualquier archivo que no esté explícitamente permitido ejecutar por la política es supuestamente que se bloquee su funcionamiento. Después de desplegar esta política y verificar que se aplicaba al usuario correcto mediante gpresult
En el caso de los usuarios de la red, todavía pude descargar y ejecutar un exe de Internet, un exe que se guardó en la carpeta temporal del perfil del usuario. Fue en ese momento que busqué más en Google, y vi que el servicio de App Identity tenía que estar funcionando, y no lo estaba: Así que, como cualquier buen administrador, lo inicié, lo puse en automático y reinicié por si acaso. La política seguía sin funcionar después de reiniciar. A continuación se muestra una captura de pantalla de la política actual.
Añadí las reglas de denegación explícitamente porque las reglas por defecto no funcionaban. Apliqué correctamente la política a la máquina y verifiqué que las reglas se aplican (lo dice en la captura de pantalla). Utilicé el Test-AppLockerPolicy
cmdlet para verificar que la regla debería bloquear la ejecución de los EXE y MSI, pero no lo hace. Abierto a la mayoría de las sugerencias, no importa lo ridículas que puedan parecer.
Actualización
Me olvidé de añadir que comprobé el registro de eventos de AppLocker durante todo este fiasco, y estaba en blanco. Ni una sola entrada en todo el tiempo.
2 votos
Busque en el registro de eventos en
Applications and Services Logs
->Microsoft
->Windows
->AppLocker
. En esos registros debería ver el mensaje de permitido/denegado, y también "La política de AppLocker se aplicó con éxito a este equipo".2 votos
Además, puede configurar la directiva de grupo que contiene las reglas de AppLocker para que también inicie el servicio Application Identity.
0 votos
@longneck tienes razón al 100%: ¡Se me olvidó añadir que revisé ese registro y estaba en blanco! Y sí, eventualmente si consigo que esta política funcione bien añadiré ese servicio para que se inicie automáticamente a través del mismo gpo por coherencia.
0 votos
Hay reglas separadas para las "Reglas del instalador de Windows". No sé si eso es relevante para tu EXE, pero vale la pena echarle un vistazo. Si dejas una copia del EXE de un programa instalado (winword.exe, etc.) en una carpeta que no está permitida en tus reglas de ejecutables, ¿podrá el usuario ejecutarlo?
0 votos
@joeqwerty por "Reglas del instalador de Windows" ¿te refieres a los archivos MSI? Eso sería horrible si MS diferenciara entre los EXE de "Programa Instalado" y los EXE de "Instalador de Windows", es de esperar que sólo se base en la extensión.
0 votos
Digo que no sé cómo se maneja eso y sería algo que probaría. Estoy usando las reglas de AppLocker y no he experimentado el problema que estás teniendo, por lo que se requiere una investigación adicional.
0 votos
@joeqwerty Ya veo, sí está ahí arriba en la captura de pantalla, con las mismas reglas (Permitir desde Windows \Installer y negar todo lo demás), desde su documentación sólo se aplica a MSIs. thnx para la información sin embargo.
1 votos
¿Es el usuario un administrador local? ¿La máquina tiene Windows 7 Pro?
0 votos
@joeqwerty Grandes preguntas, yo doblemente comprobado ahora mismo y el usuario no es un administrador (eso sería bastante embarazoso teniendo en cuenta que se supone que es una cuenta restringida por GPOs de producción ahora mismo...), y efectivamente es Windows 7 Enterprise.
0 votos
¿Cómo está definiendo su regla de denegación de ruta? ¿Ha olvidado posiblemente añadir un comodín a la ruta *?
0 votos
@FannarLevy Está en la captura de pantalla, denegar a <usuario> la ejecución de exe's bajo la carpeta de perfil de usuario. Crees que necesito un asterisco en algún sitio? al final de la ruta? Tendría que volver a mirar cómo está definido, pero lo que me deja perplejo es que el cmdlet test-applocker confirma se supone que está bloqueado, así que el camino tiene que ser correcto, ¿no?
0 votos
Si las reglas están correctamente definidas y el servicio "Application Identity" está funcionando, entonces AppLocker debería bloquearse.
0 votos
Primero asegúrese de que cumple los requisitos, por ejemplo, Windows 10 Pro no es compatible: docs.microsoft.com/es-us/Windows/security/threat-protection/