|
Не запускаются файлы - политика ограниченного использования программ
Доброе время суток. Имеется сервер Windows SRV 2008R2 Std SP1. На нем с помощью Applocker делал ограничения по запуску исполняемых файлов на диске. Политику ограниченного использования программ не применял. Потребовалось установить новые программы. При запуске msi-файла начала выходить ошибка: Данная установка запрещена политикой, заданной системным администратором. И поехало.... Отключил службу "Удостоверение приложения" - все равно ошибка. Полностью удалил политики applocker, gpupdate, перезагрузка - все равно ошибка. Что делал дальше:
1. Создал в политиках Applocker правила по умолчанию для установщика Windows, создал правила для пути, разрешающие запуск msi-файлов на всех локальных дисках сервера - не помогло 2. При запуске msi-пакета с параметрами: msiexec /i msi-файл /lv* log-файл. Создается лог файл, по которому видно что установка не идет из-за политики SRP (но они не настроены, вложение srp_log) 3. Отключал антивирус 4. Создавал параметр HKLM\Software\Policies\Microsoft\Windows\Installer, DisableMSI = 0, EnableAdminTSRemote"=dword:00000001 там же смотрел DisablePatch - такого параметра не было, msi-файлы не запускались. Затем удалил DisableMSI и Enable AdminTSRemote 5. Создал политики SRP, Применение - "Всех пользователей, кроме локальны администраторов", уровень безопасности по умолчанию - "Не ограниченный". Дополнительно создал правила для пути для жестких дисков откуда запускаются msi-файлы, gpupdate, перезагрузка - не помогло 6. Удалил все сертификаты, связанные с Microsoft из "Сертификаты - текущий пользователь" - "Сертификаты, к которым нет доверия" - тоже в соответствии с рекомендациями, где-то вычитанными в интернете 7. Делал такую настройку в политике: Цитата:
- Что делать дальше, не знаю. Как можно решить проблему? |
1. Пока работает AppLocker, SRP игнорируется. Для конфигурации SRP выключайте Applocker.
2. Реестр трогать не надо. 3. Некоторые установщики распаковывают инсталляцию в Temp, тогда правила должны быть другими. 4. Сделайте лучше по инструкции http://blog.windowsnt.lv/2011/05/30/...h-srp-russian/ 5. Инструкцию обновлю на неделе. |
WindowsNT, так счас инструкция актуальна или нет?
|
WindowsNT, Прочитал вашу статью.
1. Удалил политики Applocker. - Сейчас там пусто 2. Создал политики ограниченного использования программ, с параметрами: - Применение - все пользователи, кроме локальных администраторов - Уровень безопасности по умолчанию - "Не ограниченный" - Создал правила для путей: все локальные диски, %temp%, уровень безопасности "Неограниченны". Gpupdate - все равно msi-файлы не запускаются. Что можно предпринять? |
1. После некоторых ре-конфигураций SRP требуется рестарт.
2. Покажите снимки конфигурации политики + ключа HKLM\Software\Policies\Microsoft\Windows\Safer |
WindowsNT, перезагрузку пока не делал, не могу. по 2-му пункту во вложении.
|
Ждём рестарта.
|
WindowsNT, перезагрузил, ошибка не ушла ("Данная установка запрещена политикой, заданной системным администратором"), в журнале "Приложение" событие с источником MSIInstaller, код 1007
|
Сделайте в HKLM\Software\Policies\Microsoft\Windows\safer\Codeidentifiers значение LogFileName, REG_SZ вида "C:\Windows\Temp\SRP.log". В нём будут записываться все телодвижения политики SRP. Ищите по слову Disallowed и покажите результат.
|
WindowsNT, создал, содержимое файла после 2-х неуспешных попыток запуска msi-файла:
Скрытый текст
explorer.exe (PID = 5368) identified C:\vc_red.msi as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2}
explorer.exe (PID = 5368) identified C:\Windows\System32\msiexec.exe as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2} msiexec.exe (PID = 4088) identified C:\vc_red.msi as Disallowed using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2} explorer.exe (PID = 5368) identified C:\Windows\system32\NOTEPAD.EXE as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2} explorer.exe (PID = 5368) identified C:\vc_red.msi as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2} explorer.exe (PID = 5368) identified C:\Windows\System32\msiexec.exe as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2} msiexec.exe (PID = 4020) identified C:\vc_red.msi as Disallowed using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2} explorer.exe (PID = 5368) identified C:\Windows\system32\NOTEPAD.EXE as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2} |
"Disallowed using SRPv2 rule"
SRPv2 = AppLocker. Он у вас таки не выключен. |
WindowsNT, в управлении политиками выключен:
 |
Фото мелкое, сайт сыпет какими-то знакомствами.. но можно различить строчку "выполняется принудительное применение правил".
Фото не доказывает, что Апплокер выключен. |
WindowsNT, но написано же, что по нулям исполняемых правил, правил установщика Windows, правил сценариев:
   - Как политика может применяться, если нет ни одного правила? Сервер не входит в домен, больше политик безопасности, где настроены applocker, к компьютеру кроме этой откуда скриншот не применяется. |
Зачистив правила, вы лишь сужаете область разрешённых для запуска папок.
Апплокер отключается правой кнопкой по самому слову Апплокер. |
Цитата:
 - Или вы имели свойства "Applocker". В свойствах у меня правила не настроены:  |
Досадно. Но что-то должно быть там не так. Какая-нить доменная политика не накладывается?
|
WindowsNT, сервер не в домене. Может где в реестре проверить?
|
Проблему решил странным (думаю это даже не решение проблемы, а решение следствия) образом. В свойствах Applocker настроил для всех правил "Настроено", но выбрал не применение правил, а аудит, и запреты снялись.
Всем спасибо. |
| Время: 11:00. |
Время: 11:00.
© OSzone.net 2001-