有这段日志说明已经请求到规则;然后到此目录下查看ApplockerPolicy.xml中是否有规则:C:\Program Files (x86)\Sangfor\SSL\VDI\AgentAppLockerScripts
如图说明没有规则:
如图说明有规则
3.如检查C:\Program Files (x86)\Sangfor\SSL\VDI\AgentAppLockerScripts下无ApplockerPolicy.xml 文件或文件内无配置规则则说明策略没有下发成功,检查vdagent.log文件日志,以字段[Applcker]过滤,查看具体错误信息,根据错误日志进行策略修改进行处理。
LOGINFOW(L"[Applcker]ask VDC for the policy of AppLocker"); 向VDC请求策略
LOGERROR(L"[Applcker]GetSessionUserName failed (%d),so don't request for applocker policy",GetLastError());获取会话名字错误
LOGINFOA("[Applcker]RequestAppLockerPolicy : pszTempPath (%s)",applockerInfo.TempPath);请求策略路径
LOGINFOW(L"[Applcker]RequestAppLockerPolicy : OsVesion (0x%x) ",applockerInfo.OsVersion);请求的windows系统版本
LOGINFOW(L"[Applcker]OnGetAppLockerPolicy :Start receiving AppLocker XML policy info data UnzipLen(%d) ,EnableApplocker(%d) , dataLen(%d) MD5Change(%d).",pAppLockerInfo->UnZipLen,pAppLockerInfo->EnableApplocker,pAppLockerInfo->DataLen,pAppLockerInfo->MD5Change);比较MD5值,判断是否需要更新
LOGERRORW(L"[Applcker]OnGetAppLockerPolicy : The policy of Applocker which sent by VDC is error (%d)",pAppLockerInfo->ErrCode);从vdc接受策略发生错误
LOGINFOW(L"[Applcker]MD5 was not changed ,so no need to import the policy of AppLocker.");MD5值未发生改变,无需进行导入操作
LOGERRORW(L"[Applcker]Failed to register timer(Monitor AppIDSvc),error code = %u.",GetLastError());appid定时监控注册服务是否成功
LOGERRORW(_T("[Applcker]bad things happend :m_pAppLockerPolicy is nullptr."));内存异常
LOGERRORW(_T("[Applcker]Failed to wirte policy xml file."));策略文件写入失败
LOGERRORW(_T("[Applcker]Unzip xml policy data failed"));解压文件失败
LOGERRORW(_T("[Applcker]Failed to FlushUnzipedDataToXml."));写入缓存失败
LOGINFOA("[Applcker]start get policy data from file %s ---V2", pszXMLFile);获取本地xml策略
LOGERRORA("[Applcker]open xml file %s failed,err: %u", pszXMLFile, GetLastError());打开xml失败
LOGERRORW(L"[Applcker]CoInitialize failed,err: %u",GetLastError());初始化com接口失败
LOGERRORW(L"[Applcker]CreateInstance failed,err: %u",GetLastError());创建实例失败
LOGERRORW(L"[Applcker]because get xml file policy data has error,we don't change current applocker policy.");因为获取本地策略数据发生错误,取消本次导入
LOGINFOW(L"[Applcker]Import AppLockerPoicy success.");导入成功
LOGERRORW(L"[Applcker]when you are import applocker policy ,some exception happened.");com接口异常
LOGINFOW(L"[Applcker]Remove AppLockerPoicy success.");成功清除策略
LOGERRORW(L"[Applcker]when you are remove applocker policy ,some exception happened.");移除的时候发生异常
LOGERRORW(L"[Applcker]use pwershell script import policy.");使用ps脚本导入策略
LOGERRORW(L"[Applcker]use pwershell script remove policy.");使用ps脚本移除策略
LOGINFOW(L"[Applcker]start import the policy of AppLocker.");开始导入
LOGINFOW(L"[Applcker]start remove the policy of AppLocker.");开始移除
LOGERRORW(L"[Applcker]invalid policy event msg type");非法的策略消息
4.如检查C:\Program Files (x86)\Sangfor\SSL\VDI\AgentAppLockerScripts下有ApplockerPolicy.xml 文件且规则则检查规则是否成功导入
如果出现本地安全策略无法打开提示以下提示需作出如下调整。
命令行执行whoami /user找到当前用户的sid,如图1
HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}
把Restrict_Run字段改为0
打开本地安全策略后如下图
如果这里也有,继续看看APPlocker的服务是否都在:
如服务不在,手动开启服务进行测速,并手动执行当前规则