我們在 RDS 伺服器上執行 AppLocker。我們保留預設規則列表,添加自訂應用程式的允許規則以及單一封鎖規則。阻止規則會阻止大多數使用者的 explorer.exe,阻止他們獲得完整的遠端桌面 shell,但允許他們運行遠端應用程式。
這在 2008 - 2012 R2 中效果非常好。
Windows Server 2016 帶來了通用應用程式。將 AppLocker 剝離為預設規則,以本機管理員身分登入(這允許在硬碟上運行所有內容!),並且沒有其他規則,它會阻止對「設定」應用程式的存取。
嘗試開啟“設定”應用程式會顯示標準 AppLocker 錯誤:“此應用程式已被您的系統管理員封鎖。請聯絡您的系統管理員以取得更多資訊。”
這令人費解。 AppLocker 似乎無法應對通用應用程式。有人對此有經驗嗎?
謝謝!
答案1
您所說的錯誤並不一定意味著它是Applocker。
Applocker可以管理通用應用程序,它被稱為“打包應用規則”並且您必須至少在 applocker 策略的“打包應用程式規則”節點中建立預設規則。
您也可以查看 AppLocker 日誌: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee844150(v=ws.10)