Questão Como descubro quais programas foram bloqueados pela minha política de grupo?


Eu tenho que bloquear um computador da empresa para que se torne razoavelmente difícil executar qualquer coisa, exceto as tarefas pretendidas com ele. Como uma das etapas, restrinjai os programas que podem ser executados por meio de um objeto de política de grupo. No entanto, às vezes (por exemplo, quando eu conecto um dispositivo USB), aparece uma janela informando que minha política de grupo bloqueou a execução de um programa. Como faço para rastrear qual programa foi?

Quando eu tenho o Gerenciador de Tarefas ativado, percebo que algo parece ser executado ao conectar um dispositivo, mas ele desaparece tão rapidamente que não consigo identificar seu nome. Eu também não parecem encontrar nada nos logs de eventos. Como posso acompanhar esse programa (s) para baixo?


1


origem




Respostas:


Parece que você não iniciou o Serviço de Identidade do Aplicativo nos computadores de destino.

  1. Clique em Iniciar, digite services.msc e pressione ENTER.
  2. No console do snap-in Serviços, clique com o botão direito do mouse em Identidade do Aplicativo e clique em Propriedades.
  3. No menu Iniciar tipo, clique em automático e, em seguida, clique em OK
  4. No console do snap-in Serviços, clique com o botão direito do mouse em Identidade do Aplicativo e clique em Iniciar para iniciar o serviço pela primeira vez.

Você pode querer considerar o uso da Política de Grupo para iniciar o serviço automaticamente em todos os computadores nos quais planeja implantar o AppLocker.

O log do AppLocker contém informações sobre todos os aplicativos afetados pelas regras do AppLocker. Você pode usar o log para determinar quais aplicativos são afetados por uma regra. Cada evento no log operacional do AppLocker contém informações detalhadas sobre:

  • Qual arquivo é afetado e o caminho desse arquivo.
  • Se o arquivo é permitido ou bloqueado.
  • O tipo de regra (caminho, hash de arquivo ou editor).
  • O nome da regra.
  • O identificador de segurança (SID) para o usuário ou grupo de destino.

Para revisar o log do AppLocker no Visualizador de Eventos

  1. Clique em Iniciar, digite eventvwr.msc e pressione ENTER.
  2. Na árvore de console do Visualizador de Eventos, clique duas vezes em Logs de Aplicativos e Serviços, clique duas vezes em Microsoft, clique duas vezes em Windows, clique duas vezes em AppLocker e clique em EXE e DLL.
  3. Revise as entradas no painel de resultados para determinar se algum aplicativo não está incluído nas regras que você gerou automaticamente. Por exemplo, alguns aplicativos de linha de negócios são instalados em locais não padrão, como a raiz da unidade ativa (C :).

1



As informações que obtenho no log de EXE e DLL são extremamente esparsas - isso é porque eu defini o acesso ao programa por meio de diretivas de grupo diretamente, em vez de usar o appLocker? - Jonas