Windows 7 不可更改的 AppLocker 规则

Windows 7 不可更改的 AppLocker 规则

我有一个 Windows 7 图像,它似乎正在使用我无法修改或禁用的 applocker 规则集。

执行以下操作似乎对此强制执行的 AppLocker 神秘规则集没有影响:

  • 禁用 AppIdSvc
  • 重新启动 AppIdSvc
  • 更新本地安全策略中的 AppLocker 规则集(此系统不属于域的一部分)
  • 以上任意组合

以上内容来自此technet 文章

这是使用 applocker powershell 模块的结果:

Import-Module AppLocker
Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path c:\TestScript.bat

FilePath                             PolicyDecision MatchingRule
--------                             -------------- ------------
C:\TestScript.bat                  AllowedByDefault

如果我为脚本或 exe 创建通配符规则集,则此测试将更改为允许策略决策。

但是,在实际测试执行时,我收到错误This program is blocked by group policy...,并且 AppLocker 事件日志中出现相应的消息,指出使用空白 RuleName 和归零 RuleId 阻止运行执行。

似乎还有规则生效。如果我以管理员身份运行 TestScript.bat(UAC 已启用),则脚本将按预期执行,并且将注册一个事件,表明允许执行,规则名称为所有脚本。此规则可能来自早期设置,但我似乎找不到或删除它。我该如何删除这些隐藏的规则?

答案1

我找到了部分解决方案。有效但隐藏在安全策略 (secpol.msc 或 gpedit.msc) 中的 AppLocker 规则位于此处:

HKLM\SYSTEM\CurrentControlSet\Control\Srp\Gp

从这里我可以手动操作 applocker 规则。但是,我仍然无法通过安全策略或 Set-AppLockerPolicy cmdlet 修改这些规则。某些东西阻止系统应用 AppLocker 规则。

相关内容