[WindowsNT]

1. Пока работает AppLocker, SRP игнорируется. Для конфигурации SRP выключайте Applocker.
2. Реестр трогать не надо.
3. Некоторые установщики распаковывают инсталляцию в Temp, тогда правила должны быть другими.
4. Сделайте лучше по инструкции http://blog.windowsnt.lv/2011/05/30/...h-srp-russian/
5. Инструкцию обновлю на неделе.

[__sa__nya]

WindowsNT, так счас инструкция актуальна или нет?

[__sa__nya]

WindowsNT, Прочитал вашу статью.
1. Удалил политики Applocker. - Сейчас там пусто
2. Создал политики ограниченного использования программ, с параметрами:
- Применение - все пользователи, кроме локальных администраторов
- Уровень безопасности по умолчанию - "Не ограниченный"
- Создал правила для путей: все локальные диски, %temp%, уровень безопасности "Неограниченны".

Gpupdate - все равно msi-файлы не запускаются.

Что можно предпринять?

[WindowsNT]

1. После некоторых ре-конфигураций SRP требуется рестарт.
2. Покажите снимки конфигурации политики + ключа HKLM\Software\Policies\Microsoft\Windows\Safer

[__sa__nya]

WindowsNT, перезагрузку пока не делал, не могу. по 2-му пункту во вложении.

[WindowsNT]

Ждём рестарта.

[__sa__nya]

WindowsNT, перезагрузил, ошибка не ушла ("Данная установка запрещена политикой, заданной системным администратором"), в журнале "Приложение" событие с источником MSIInstaller, код 1007

[WindowsNT]

Сделайте в HKLM\Software\Policies\Microsoft\Windows\safer\Codeidentifiers значение LogFileName, REG_SZ вида "C:\Windows\Temp\SRP.log". В нём будут записываться все телодвижения политики SRP. Ищите по слову Disallowed и покажите результат.

[__sa__nya]

WindowsNT, создал, содержимое файла после 2-х неуспешных попыток запуска msi-файла:

Скрытый текст

explorer.exe (PID = 5368) identified C:\vc_red.msi as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2}
explorer.exe (PID = 5368) identified C:\Windows\System32\msiexec.exe as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2}
msiexec.exe (PID = 4088) identified C:\vc_red.msi as Disallowed using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2}
explorer.exe (PID = 5368) identified C:\Windows\system32\NOTEPAD.EXE as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2}
explorer.exe (PID = 5368) identified C:\vc_red.msi as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2}
explorer.exe (PID = 5368) identified C:\Windows\System32\msiexec.exe as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2}
msiexec.exe (PID = 4020) identified C:\vc_red.msi as Disallowed using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2}
explorer.exe (PID = 5368) identified C:\Windows\system32\NOTEPAD.EXE as Unrestricted using SRPv2 rule, Guid = {c71b5435-1293-4848-b0a3-b53066c76ca2}