none
GPO блокировка приложений по сертификатам RRS feed

  • Общие обсуждения

  • Добрый день
     Имеется групповая политика через которую я хочу заблокировать запуск приложения "TeamViewer" через его цифровую подпись.
    Настройки гпо приведены на скрине ниже:
      
     Применяю к компьютеру, но блокировки приложения не происходит. Получаю сообщение о блокировке, но приложение все равно запускается
     
      С чем связана подобная ошибка и как правильно настроить политику для корректной блокировки приложений по сертификатам? 
     Спасибо
    5 ноября 2019 г. 15:25

Все ответы

  • политика ограниченного использования это srp или applocker?

    какая редакция ос используется?


    The opinion expressed by me is not an official position of Microsoft

    5 ноября 2019 г. 16:27
    Модератор
  • Скажите, вы блокируя приложение по сертификату, выбираете файлик .cer и .crt?

    Опишите пж процесс, как вы правило создали. По шагам.
    У себя проверил, всё работает и не запускается.

    Вот такая ошибка возникает, в то время как заблокировано приложение и никакого запуска.

    5 ноября 2019 г. 16:31
  • политика ограниченного использования это srp или applocker?

    какая редакция ос используется?


    The opinion expressed by me is not an official position of Microsoft

      Используется srp, политика применяется к нескольким клиентским компьютерам в домене, на всех установлена Win 10 x64 enterprise (1903 18362.449)

    6 ноября 2019 г. 7:53
  • Распишу подробно:

    1. Имеется задача заблокировать запуск приложения. Самый оптимальный вариант был с использованием блокировки этого приложения

    1. В нужном контейнере АД создал политику и редактировал конфигурацию для применения на компьютерах

    s 3. Создал новую srt и в разделе "дополнительные правила" добавил новое правило блокировки на основе сертификата (предварительно выгрузил сертификат приложения). Сертификаты подгружались с расширением ".cer"

    5. Это повторное создание политики. Предыдущая работала и блокировала приложение.


     

     

    6 ноября 2019 г. 8:15
  • Давайте я расспишу, как у меня работает.

    Первые два пункта такие же как и у вас.

    Начинаем с третьего пункта.

    3. Переходим на офф. сайт тимвивер и скачиваем установочник .exe (Допустим сохранили в папке Downloads)

    4. Создал новую srt и в разделе "дополнительные правила" добавил новое правило блокировки на основе сертификата. Откроется окно (скрин 1.) Нажимаете Browse....(обзор) и диалоговое окно с выбором сертификата. В правой нижней части выбираете маску All Files (см.скрин1, шаг2) и выбираете скаченный установочник тимвивера (в папке Downloads)

    Высветится окно (см скрин2) Нажимаете YES и откроется следующее окно и выбираете чекбоксы как на скрине (см.скрин3) и нажимаете Apply - OK

    5. Убеждаетесь в применении политики (gpresult /r or rsop)

    Попробуйте так. У меня работает.


    6 ноября 2019 г. 8:37
  • Использую другой аккаунт:

     Удалил старую политику, сделал все с нуля как Вы указали выше, но увы та же история. 

    Есть некоторая вероятность конфликтов политик, но сейчас я это проверю. Изначально я с первого раза так настроил: все прекрасно блокировалось. Не могу понять, что произошло и что вообще могло повлиять на работоспособность 

    6 ноября 2019 г. 11:27
  • Попробовали на разных компьютерах, итог таков:

    - через gpresult вижу, что политика применяется

    - пробовали заблокировать TW, приложение запускает панель с настройками, но работать с самим приложением не позволяет, закрывается с ошибкой:


    - пробовали заблокировать "амми" появляется сообщение о блокировки политикой, но после его закрытия приложение продолжает работать


    - в логах нет никаких ошибок связанных с некорректной работой политик на клиентских машинах

    7 ноября 2019 г. 8:10
  • Может в таком случае стоить удалить тимвивер и прочие ПО и запретить их установку спомощью applocker'a, блокируя установку через издателя?
    7 ноября 2019 г. 9:02
  • Увы, нет. Такое решение не подходит, т.к., эти приложения работают без установки. Требуется блокировать именно запуск приложения.

     Когда политика создавалась в 1ый раз все корректно блокировалось. Мы не можем разобраться, что влияет на ее работоспособность; возможно менялись какие-то параметры, но мы проверили, да и просто создали всё заново. В данный момент не понимаем в какую сторону копать; ошибок нет, с логами все в порядке

     Попробовал апплокер - никакой реакции на приложения

     
    • Изменено imposaible 7 ноября 2019 г. 11:41
    7 ноября 2019 г. 11:29
  • Увы, нет. Такое решение не подходит, т.к., эти приложения работают без установки. Требуется блокировать именно запуск приложения.

     Когда политика создавалась в 1ый раз все корректно блокировалось. Мы не можем разобраться, что влияет на ее работоспособность; возможно менялись какие-то параметры, но мы проверили, да и просто создали всё заново. В данный момент не понимаем в какую сторону копать; ошибок нет, с логами все в порядке

     

    Команда gpresult /r сколько применненных политик показывает?

    Далее посмотрите вывод команды rsop


    8 ноября 2019 г. 5:23