语境:当 Windows Defender 应用程序控制阻止某个程序时,事件查看器日志中还会显示哪个应用程序/进程尝试打开被阻止的 exe。例如,它会显示以下内容,后面跟着被阻止的文件(我截断了消息): Code Integrity determined that a process (\Device\HarddiskVolume7\Windows\System32\svchost.exe) attempted to load....
问题:由于 Windows 已经跟踪尝试运行该文件的程序,因此是否可以允许仅有的特定进程/文件来运行指定的应用程序?
让我想到的是微软程序列表它建议阻止这些功能,因为它们可用于绕过 WDAC 和 AppLocker。但其中一些功能可能对某些用户来说是必需的,因此它确实说“除非您的使用场景明确需要它们”。但能够只允许特定进程使用它会比直接允许它更好。