Назад | Перейти на главную страницу

Неизменяемые правила для Windows 7 AppLocker

У меня есть изображение Windows 7, которое, похоже, использует набор правил блокировки приложений, который я не могу изменить или отключить.

Выполнение следующих действий не влияет на этот принудительный набор тайных правил AppLocker:

Вышеизложенное исходит из этого статья в технике.

Это результат использования модуля PowerShell applocker:

Import-Module AppLocker
Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path c:\TestScript.bat

FilePath                             PolicyDecision MatchingRule
--------                             -------------- ------------
C:\TestScript.bat                  AllowedByDefault

Если я создаю набор правил с подстановочными знаками для сценариев или exes, этот тест изменяется на Разрешено для решения политики.

Однако при фактическом тестировании выполнения я получаю сообщение об ошибке This program is blocked by group policy... и в журнале событий AppLocker есть соответствующее сообщение о том, что выполнение было запрещено запускаться с пустым RuleName и обнуленным RuleId.

Кажется, также действуют правила. Если я запустил TestScript.bat от имени администратора (UAC включен), то сценарий будет выполняться, как ожидалось, и будет зарегистрировано событие, в котором указано, что выполнение разрешено с помощью RuleName of All scripts. Это правило, вероятно, появилось из более ранней настройки, но я не могу его найти или удалить. как я могу удалить эти скрытые правила?

Я нашел частичное решение. Правила AppLocker, которые действовали, но были скрыты от политики безопасности (secpol.msc или gpedit.msc), расположены здесь:

HKLM\SYSTEM\CurrentControlSet\Control\Srp\Gp

Отсюда я смог вручную манипулировать правилами блокировки приложений. Однако я по-прежнему не могу изменить эти правила с помощью политики безопасности или командлета Set-AppLockerPolicy. Что-то мешает системе применять правила AppLocker.