1

Я должен заблокировать компьютер компании, чтобы с ним стало достаточно сложно выполнять что-либо, кроме запланированных задач. В качестве одного из шагов я ограничил программы, которые разрешено запускать через объект групповой политики. Однако иногда (например, когда я подключаю USB-устройство), появляется окно, сообщающее мне, что моя групповая политика заблокировала выполнение программы. Как я могу отследить, какая программа была?

Когда у меня включен диспетчер задач, я замечаю, что что-то запускается при подключении устройства, но оно исчезает так быстро, что я не могу поймать его имя. Я также, кажется, ничего не нахожу в журналах событий. Как я могу отследить эту программу (ы) вниз?

|источник

1 ответ1

1

Похоже, вы не запускали службу идентификации приложений на целевых компьютерах.

  1. Нажмите Пуск, введите services.msc и нажмите клавишу ВВОД.
  2. В консоли оснастки «Службы» щелкните правой кнопкой мыши «Идентификатор приложения» и выберите «Свойства».
  3. В меню «Пуск» выберите «Автоматически» и нажмите «ОК».
  4. В консоли оснастки «Службы» щелкните правой кнопкой мыши «Идентификатор приложения» и выберите «Пуск», чтобы запустить службу в первый раз.

Возможно, вы захотите использовать групповую политику для автоматического запуска службы на всех компьютерах, где вы планируете развернуть AppLocker.

Журнал AppLocker содержит информацию обо всех приложениях, на которые распространяются правила AppLocker. Вы можете использовать журнал, чтобы определить, на какие приложения влияет правило. Каждое событие в журнале операций AppLocker содержит подробную информацию о:

  • Какой файл затронут и путь к этому файлу.
  • Разрешен ли файл или заблокирован.
  • Тип правила (путь, хэш файла или издатель).
  • Название правила.
  • Идентификатор безопасности (SID) для целевого пользователя или группы.

Чтобы просмотреть журнал AppLocker в Event Viewer

  1. Нажмите Пуск, введите eventvwr.msc и нажмите клавишу ВВОД.
  2. В дереве консоли Event Viewer дважды щелкните Журналы приложений и служб, дважды щелкните Microsoft, дважды щелкните Windows, дважды щелкните AppLocker, а затем нажмите EXE и DLL.
  3. Просмотрите записи в области результатов, чтобы определить, не включены ли какие-либо приложения в автоматически созданные правила. Например, некоторые бизнес-приложения устанавливаются в нестандартных местах, таких как корень активного диска (C:).
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .