1

我们将软件的一个组件作为 MSI 发送给已激活 AppLocker 的客户。安装失败,AppLocker 启动。据我了解,问题是:

  • AppLocker 默认规则仅允许管理员安装 MSI 文件
  • 按照设计,Windows 安装程序首先运行无特权的 MSI 文件,然后才切换到提升的特权

所以安装程序对于 AppLocker 来说“迟到了”。什么有效(仅尝试了1-3):

  1. 以管理员身份打开命令提示符并运行 MSI 文件
  2. 创建 AppLocker 规则,允许普通用户从指定目录安装 MSI
  3. 让 setup.exe 运行 MSI 并以管理员身份运行 setup.exe
  4. 破解 Windows 为 MSI 文件创建“运行方式”上下文菜单条目
  5. 将 MSI 包装成一个自解压的 EXE

所有这些要么需要在客户方面进行更改 (2, 4),要么不像安装应该那样容易 (1, 3),要么是软件包的两倍 (5)。(其他客户需要 MSI 进行部署。)

有没有一种简单的方法可以让 MSI 与 AppLocker 一起工作?

4

2 回答 2

0

AppLocker 是一项允许企业创建可以安装和执行哪些软件的保护策略的功能。这是您的客户制造的问题,他们需要在内部处理将您的应用程序列入白名单。

MSI 和 AppLocker 完全按照设计运行。安全性和可用性成反比。:(

于 2015-09-02T17:23:09.313 回答
0

有没有一种简单的方法可以让 MSI 与 AppLocker 一起工作?

是的,我的建议是对 MSI 进行数字签名。

使用数字签名,客户可以创建发布者规则以允许规则允许您公司签名的任何 MSI 从主机系统上的任何位置安装。

参考:

了解 AppLocker 中的发布者规则条件

https://technet.microsoft.com/en-us/library/ee460943(v=ws.11).aspx

AppLocker 中的 Windows 安装程序规则

https://technet.microsoft.com/en-us/library/ee460957(v=ws.11).aspx

于 2017-11-03T19:00:46.867 回答