Я пытаюсь включить AppLocker в Windows 10 Enterprise.
у меня есть AppID
и AppIDSVC
включен и настроен на автоматический запуск, и все выглядит хорошо. Однако, когда я начинаю вставлять правила политики в AppLocker (в частности, правила .dll), я получаю следующую ошибку в средстве просмотра событий:
Ошибка преобразования политики AppID. Статус Доступ запрещен
Пользователь: SYSTEM
Это в основном вся информация, которую я получаю.
Почему он пытается преобразовать политику? Где эта политика? Как мне предоставить доступ к системе?
Если я проигнорирую эту ошибку (что не является хорошей идеей, если вы не работаете на чистой машине с недавними точками восстановления) и продолжу настраивать AppLocker, он будет работать для этого сеанса. При перезагрузке после загрузки BIOS ОС не работает, у меня серый экран и нужно восстановить.
Это явно нехорошо, и я круглосуточно работал, пытаясь это исправить. Я пока не нашел в Интернете ничего, что могло бы помочь, так что я буду благодарен за понимание или совет.
Описание этой ошибки можно найти в статье Microsoft Technet. Использование средства просмотра событий с AppLocker, и является:
Указывает, что политика была неправильно применена к компьютеру. Сообщение о состоянии предназначено для устранения неполадок.
Статус, который вы получаете, - «доступ запрещен», который также указывает вам, в каком общем направлении смотреть. У кого-то еще была эта проблема когда LOCAL SERVICE
не имел прав на изменение или удаление журналов на C:\Windows\System32\config\TxR
, так что я подозреваю, что и здесь возникает проблема с разрешениями. (Под этим я подразумеваю нечто совершенно не интуитивное и неочевидное.)
Чтобы отследить это точно, лучшее, что я могу придумать, - это открыть Монитор процесса из SysInternals Suite непосредственно перед тем, как вы начнете добавлять свои правила AppLocker, а затем выполните фильтрацию вывода, чтобы увидеть, какой файл или папка это SYSTEM
пытается получить доступ, когда выдается ошибка. Как только вы узнаете где доступ запрещен, надеюсь, это простой вопрос явного предоставления SYSTEM
полный контроль над локацией.
Я видел сообщения, в которых пользователь переключил его с LOCAL SERVICE на SYSTEM, и служба перестала работать. Вы пробовали переключить его обратно на МЕСТНОЕ ОБСЛУЖИВАНИЕ? ЛОКАЛЬНАЯ СЛУЖБА - это правильная учетная запись / учетная запись по умолчанию, в которой запускается эта служба.