标签: applocker

我已经设置了一个包含默认 Applocker 规则的基本组策略。根据微软关于该主题的technet 文章，该策略未明确允许运行的任何文件都应该被阻止运行。在部署此策略并使用 验证它已应用于正确的用户后gpresult，我仍然能够从 Internet 下载并运行一个 exe，该 exe 已保存到用户配置文件的临时文件夹中。那时我做了更多的谷歌搜索，发现 App Identity 服务必须运行，但事实并非如此：所以，像任何优秀的管理员一样，我启动了它，将其设置为自动，然后重新启动以防万一。重新启动后该策略仍然不起作用。以下是当前政策的屏幕截图。

我明确添加了拒绝规则，因为默认规则不起作用。我正确地将策略应用到了机器上，并验证了规则是否得到执行（它在屏幕截图中是这样说的）。我使用Test-AppLockerPolicycmdlet 来验证规则是否应该阻止 EXE 和 MSI 运行，但事实并非如此。对大多数建议持开放态度，无论它们听起来多么荒谬。

更新

忘了补充，我在整个惨败期间检查了 AppLocker 的事件日志，它是空白的。整个时间没有一个条目。