У меня есть изображение Windows 7, которое, похоже, использует набор правил блокировки приложений, который я не могу изменить или отключить.
Выполнение следующих действий не влияет на этот принудительный набор тайных правил AppLocker:
Вышеизложенное исходит из этого статья в технике.
Это результат использования модуля PowerShell applocker:
Import-Module AppLocker
Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path c:\TestScript.bat
FilePath PolicyDecision MatchingRule
-------- -------------- ------------
C:\TestScript.bat AllowedByDefault
Если я создаю набор правил с подстановочными знаками для сценариев или exes, этот тест изменяется на Разрешено для решения политики.
Однако при фактическом тестировании выполнения я получаю сообщение об ошибке This program is blocked by group policy...
и в журнале событий AppLocker есть соответствующее сообщение о том, что выполнение было запрещено запускаться с пустым RuleName и обнуленным RuleId.
Кажется, также действуют правила. Если я запустил TestScript.bat от имени администратора (UAC включен), то сценарий будет выполняться, как ожидалось, и будет зарегистрировано событие, в котором указано, что выполнение разрешено с помощью RuleName of All scripts. Это правило, вероятно, появилось из более ранней настройки, но я не могу его найти или удалить. как я могу удалить эти скрытые правила?
Я нашел частичное решение. Правила AppLocker, которые действовали, но были скрыты от политики безопасности (secpol.msc или gpedit.msc), расположены здесь:
HKLM\SYSTEM\CurrentControlSet\Control\Srp\Gp
Отсюда я смог вручную манипулировать правилами блокировки приложений. Однако я по-прежнему не могу изменить эти правила с помощью политики безопасности или командлета Set-AppLockerPolicy. Что-то мешает системе применять правила AppLocker.