使用AppLocker active安装MSI

Question

我们将软件的一个组件作为MSI发送给激活了AppLocker的客户。安装失败，AppLocker启动。据我所知，问题是：

• AppLocker默认规则只允许管理员安装MSI文件。
• 根据设计，Windows一开始运行MSI文件，然后才切换到提升的权限

因此，安装程序对AppLocker来说是“迟到”。什么是有效的(只尝试了1-3)：

1. 将命令提示符打开为Admin并运行MSI文件
2. 创建一个AppLocker规则，允许普通用户从指定目录安装MSI。
3. 让setup.exe运行MSI并以管理员身份运行setup.exe
4. Hack Windows为MSI文件创建"run“上下文菜单项
5. 将MSI包装到自解压缩EXE中。

所有这些都是需要在客户端进行更改(2，4)，不像安装应该是(1，3)那样容易，或者是包(5)的两倍。(其他客户需要MSI进行部署。)

有什么简单的方法可以让MSI与AppLocker一起工作吗？

Answer 1

AppLocker是一种允许企业创建可以安装和执行什么软件的保护策略的特性。这是您的客户制作的一个问题，他们需要在内部处理您的应用程序。

MSI和AppLocker的功能与设计完全相同。安全性和可用性成反比。:(

Answer 2

有什么简单的方法可以让MSI与AppLocker一起工作吗？

是的，我的建议是以数字方式签署MSI。

使用数字签名，客户可以创建Publisher规则以允许规则允许由公司签名的任何MSI从主机系统上的任何位置安装。

参考文献：

理解AppLocker中的发行者规则条件

https://technet.microsoft.com/en-us/library/ee460943(v=ws.11).aspx

Windows安装程序规则在AppLocker中的应用

https://technet.microsoft.com/en-us/library/ee460957(v=ws.11).aspx