Woodgnome Asked: 2024-12-20 20:41:49 +0800 CST2024-12-20 20:41:49 +0800 CST 2024-12-20 20:41:49 +0800 CST 如果使用 AppLocker 阻止不需要的 MSI,那么允许“始终以提升的权限安装”是否存在缺陷? 772 我想允许标准用户安装需要提升权限的应用程序,例如安装写入 C:\Program Files (x86) 的“每台机器”。 有很多方法可以做到这一点,但最不具侵入性(与广告/出版/ SCCM 相比)似乎是启用组策略“始终以提升的权限安装”。 这显然是一个安全风险,但是可以通过将 AppLocker 配置为仅运行由一个或多个特定发布者签名的 MSI 来适当缓解这一风险吗?或者是否有一些解决方法可以滥用这一点? group-policy 1 个回答 Voted Best Answer Greg Askew 2024-12-21T20:16:23+08:002024-12-21T20:16:23+08:00 Applocker 可能是一个可以接受的补偿控件。它可以配置规则以允许来自您指定的供应商的签名 MSI,这些供应商可能还包括 Microsoft 和您的硬件供应商。 这可能比使用 Applocker 来限制可执行文件更为现实,因为最终用户安装 MSI 的情况实际上非常罕见,并且将可执行文件限制为仅限经过批准的签名者甚至可能会让最大的供应商陷入困境(HP 或 Dell 偶尔会发布未签名的二进制文件)。 一个缺点是,如果您还没有使用过 Applocker,那么采用它并不是一件容易的事,您可能需要通过确定您需要允许的所有供应商来彻底测试它。但是 AppLocker 不再有 SKU 限制,并且自 2022 年起将在 Windows 10/11 Professional 上运行。 https://support.microsoft.com/en-us/topic/kb5024351-removal-of-windows-edition-checks-for-applocker-e3a763c9-6a3e-4d9c-8623-0ffe69046470 https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/applocker/requirements-to-use-applocker
Applocker 可能是一个可以接受的补偿控件。它可以配置规则以允许来自您指定的供应商的签名 MSI,这些供应商可能还包括 Microsoft 和您的硬件供应商。
这可能比使用 Applocker 来限制可执行文件更为现实,因为最终用户安装 MSI 的情况实际上非常罕见,并且将可执行文件限制为仅限经过批准的签名者甚至可能会让最大的供应商陷入困境(HP 或 Dell 偶尔会发布未签名的二进制文件)。
一个缺点是,如果您还没有使用过 Applocker,那么采用它并不是一件容易的事,您可能需要通过确定您需要允许的所有供应商来彻底测试它。但是 AppLocker 不再有 SKU 限制,并且自 2022 年起将在 Windows 10/11 Professional 上运行。
https://support.microsoft.com/en-us/topic/kb5024351-removal-of-windows-edition-checks-for-applocker-e3a763c9-6a3e-4d9c-8623-0ffe69046470
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/applocker/requirements-to-use-applocker