ฉันกำลังพยายามสร้างกฎการบล็อกแอปแบบไดนามิกด้วย AppLocker การตั้งค่าคือฉันได้กำหนดกฎของ AppLocker ไว้ล่วงหน้าแล้ว (เช่น อนุญาตให้กลุ่มผู้ใช้ windows 'Chrome' เข้าถึง 'chrome.exe' (ไม่ใช่ชื่อกลุ่มจริงหรือเส้นทางจริง)) จากนั้นกำหนดผู้ใช้ให้กับกลุ่มเมื่อเข้าสู่ระบบด้วยความช่วยเหลือของบริการ Windows
ใช้งานได้ดีในตอนแรก แต่หลังจากนั้นไม่นานก็หยุดทำงาน (AppLocker ใช้งานได้เอง แต่กฎเฉพาะกลุ่มผู้ใช้ไม่ได้ใช้ -- กล่าวคือ ทุกอย่างถูกบล็อก) ฉันทดสอบนโยบายทั้งหมดที่รวมกันผ่านคำสั่ง PowerShell และตามนโยบายเหล่านั้น ผู้ใช้ที่อยู่ในกลุ่มผู้ใช้ โครเมียม ควรได้รับอนุญาตให้เข้าถึง chrome.exeแต่ในความเป็นจริง ฉันจะได้รับการแจ้งเตือนให้บล็อกแอป
จากนั้นฉันพยายามสร้างกฎเฉพาะผู้ใช้เพื่ออนุญาต chrome.exeซึ่งทำงานได้ดีและทันทีที่ฉันลบออก (กฎกลุ่มยังคงมีอยู่) ฉันจะถูกบล็อกอีกครั้ง หรือแม้แต่แค่เปลี่ยนนโยบายกลุ่มผู้ใช้ที่มีอยู่ให้ชี้ไปที่ผู้ใช้เฉพาะก็ทำให้ใช้งานได้แล้วเปลี่ยนกลับให้ชี้ไปที่กลุ่มผู้ใช้ก็ไม่ทำงานอีก
ส่วนที่ตลก - หลังจากรีสตาร์ท VM ไม่กี่ครั้ง มันก็ใช้งานได้อีกครั้ง และในวันถัดไปเมื่อฉันต้องการสาธิตให้เพื่อนร่วมงานดู ฉันพบปัญหาเดิมอีกครั้ง ซึ่งแก้ไขได้อีกครั้งด้วยการรีสตาร์ท VM หลายครั้ง
ปัญหาที่เป็นไปได้อย่างชัดเจนอาจเป็น 'ผู้ใช้อยู่ในกลุ่มจริงๆ หรือไม่' และคำตอบคือใช่ ทุกครั้งที่นโยบายไม่ได้ผล ฉันจะเข้าไปแก้ไข lusrmgr และตรวจสอบว่า
สำหรับบริบทเพิ่มเติม - VM โฮสต์บน Azure, เรียกใช้ Windows 10 แบบหลายเซสชัน 21H1, AppLocker ได้รับการตั้งค่าในระดับเครื่องภายในเครื่อง (ไม่มีนโยบายทั่วทั้งโดเมนหรืออะไรทำนองนั้น atm)
สาเหตุที่สิ่งนี้ล้มเหลวเมื่อคุณใช้แอปพลิเคชันอัตโนมัติของกฎนี้ เนื่องจากผู้ใช้ถูกเพิ่มลงในกลุ่ม หลังจาก พวกเขาได้เข้าสู่ระบบ
เมื่อคุณเพิ่มผู้ใช้ลงในกลุ่ม การเป็นสมาชิกกลุ่มใหม่จะไม่มีผลจนกว่าจะเข้าสู่ระบบครั้งถัดไป (ในขณะที่บัญชีผู้ใช้ยังคงอยู่ในกลุ่มนั้น) เมื่อเข้าสู่ระบบโทเค็น Kerberos ของผู้ใช้จะถูกสร้างขึ้นตามการรวมกันของ SID บัญชีผู้ใช้และ SID ของกลุ่มทั้งหมดที่พวกเขาเป็นสมาชิก เมื่อใดก็ตามที่มีการตรวจสอบการดำเนินการตามกลุ่มสำหรับผู้ใช้ (ACL, นโยบาย AppLocker ฯลฯ) สิ่งที่จะได้รับการตรวจสอบจริง ๆ คือโทเค็น Kerberos
จะมีวิธีแก้ปัญหาที่แตกต่างกันหลายอย่าง ขึ้นอยู่กับปัจจัยหลายอย่างในสภาพแวดล้อมของคุณ วิธีแก้ปัญหาสองวิธีคือ:
klist ล้าง. การดำเนินการนี้จะบังคับให้โทเค็น Kerberos สร้างใหม่ จากนั้นจะรวมการเป็นสมาชิกกลุ่มใหม่ ณ จุดนี้นโยบาย AppLocker แบบไดนามิกของคุณจะใช้งานได้รายการ: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/klist
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
