none
Programmi Bloccati APP Locker RRS feed

  • Domanda

  • Buongiorno a tutti. 

    In azienda abbiamo una configurazione basata su Win2012 STD con regole App Locker per la restrizione di alcuni applicativi.

    Ogni volta che vengono aggiornati gli applicativi bisognava ricreare la regola app locker. Tutto fino all'ultimo aggiornamento!

    A seguito dell'ultimo update i due applicativi incriminati posso essere aperti solo da utenti amministratori.

    Ho provato a cancellare e ricreare le regole app Locker, ma nulla. Cosa posso fare?

    lunedì 6 marzo 2017 08:28

Risposte

  • Ti consiglio di eseguire questi test:
    - Forzare l'applicazione delle nuove policy sul client utilizzando gpupdate /force
    - Duplicare la GPO, applicarla solo ad un client (bloccando l'applicazione dell'altra) ed impostare le regole di AppLocker in modalità "Controllo". In questo modo tutte le App dovrebbero aprirsi normalmente, ma nel registro dovresti vedere un evento che segnala se l'applicazione sarebbe stata bloccata o consentita con i criteri AppLocker abilitati. Questo per verificare la correttezza delle impostazioni nella GPO. Volendo puoi utilizzare anche PowerShell che non richiede una creazione di una GPO di test, ma non è esattamente la stessa cosa: https://technet.microsoft.com/en-us/library/ee791772(v=ws.10).aspx
    Al limite, se noti comportamenti anomali, valuta se eliminare completamente i criteri e ricrearli da zero.
    - Utilizzare lo stesso utente su un altro client, cioè con un profilo locale "pulito" (in alcuni casi delle modifiche frequenti ai criteri AppLocker possono lasciare dei residui nel profilo utente locale dell'utente).
    Ovviamente assicurati che i client siano completamente aggiornati.



    lunedì 6 marzo 2017 16:47
    Moderatore
  • Il suggerimento di utilizzare un profilo locale "pulito" è applicabile anche se utilizzi un host RDS.
    mercoledì 8 marzo 2017 08:45
    Moderatore
  • hai provato a far eseguire l'applicazione da un utente non admin autorizzato che però acceda interattivamente alla console del server e non attraverso RDS ?

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    lunedì 13 marzo 2017 08:56
    Moderatore

Tutte le risposte

  • Si tratta di un'App oppure è un'applicazione desktop?
    Cosa intendi esattamente per "ultimo update"?

    lunedì 6 marzo 2017 08:33
    Moderatore
  • Buona sera Fabrizio.

    Si tratta di un'applicazione Desktop e 4 -5 volte l'anno viene rilasciato un aggiornamento di questo applicativo.

    Dopo l'ultimo aggiornamento ho provveduto a ricreare la regola App Locker ma il programma non è più partito se non con privilegi di amministratore.  

    lunedì 6 marzo 2017 14:50
  • Non ho capito, vorresti impedire l'apertura di questa applicazione da parte di tutti gli utenti ma gli amministratori possono comunque avviarla?
    Potresti specificare come hai creato le regole AppLocker (dettagli oggetto GPO, dettagli delle regole, ecc..)?
    lunedì 6 marzo 2017 15:59
    Moderatore
  • Ok.

    1- Criteri di controllo delle applicazioni
    2- AppLocker - Regole Eseguibili
    3- Crea nuova regola
    4- Azione: consenti
    5- Selezione utente di dominio da abilitare
    6- Seleziono il tipo di condizione ( ho provato sia come Has file che come percoso) 
    7- Selezionoi l'eseguibile o la cartella a seconda della scelta al punto precedente.

    Il risultato è il seguente: Questo programma è stato bloccato dall'amministratore di sistema. Per ulteriori informazioni contattare l'amministratore.  Per cui per far utilizzare l'applicativo a questi utetni devo obbligatoriamente farli partire da Amministrator.

    Intanto grazie per la gentilezza 


    lunedì 6 marzo 2017 16:25
  • Ti consiglio di eseguire questi test:
    - Forzare l'applicazione delle nuove policy sul client utilizzando gpupdate /force
    - Duplicare la GPO, applicarla solo ad un client (bloccando l'applicazione dell'altra) ed impostare le regole di AppLocker in modalità "Controllo". In questo modo tutte le App dovrebbero aprirsi normalmente, ma nel registro dovresti vedere un evento che segnala se l'applicazione sarebbe stata bloccata o consentita con i criteri AppLocker abilitati. Questo per verificare la correttezza delle impostazioni nella GPO. Volendo puoi utilizzare anche PowerShell che non richiede una creazione di una GPO di test, ma non è esattamente la stessa cosa: https://technet.microsoft.com/en-us/library/ee791772(v=ws.10).aspx
    Al limite, se noti comportamenti anomali, valuta se eliminare completamente i criteri e ricrearli da zero.
    - Utilizzare lo stesso utente su un altro client, cioè con un profilo locale "pulito" (in alcuni casi delle modifiche frequenti ai criteri AppLocker possono lasciare dei residui nel profilo utente locale dell'utente).
    Ovviamente assicurati che i client siano completamente aggiornati.



    lunedì 6 marzo 2017 16:47
    Moderatore
  • Non è un problema di client fisico in quanto gli utenti si collegano in Desktop remoto alla macchina 2012.

    Ho provato la "modalità controllo" e forzato la regola con "gpupdate /force" ma nulla.

    E come se a seguito della regola AppLocker i due applicativi sono bloccati tranne che agli amministratori.

    Controllo nel registro  

    mercoledì 8 marzo 2017 08:07
  • Il suggerimento di utilizzare un profilo locale "pulito" è applicabile anche se utilizzi un host RDS.
    mercoledì 8 marzo 2017 08:45
    Moderatore
  • hai provato a far eseguire l'applicazione da un utente non admin autorizzato che però acceda interattivamente alla console del server e non attraverso RDS ?

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    edo[at]mvps[dot]org

    lunedì 13 marzo 2017 08:56
    Moderatore
  • No.

    Per ora ho risolto rilasciando una password "amministratore" solo agli utenti che utilizzano questo applicativo.

    Per quanto riguarda la tua proposta, non ho capito bene cosa devo fare :-)

    martedì 6 giugno 2017 11:16