我正在尝试在 Windows 10 Enterprise 上启用 AppLocker。
我已经AppID启用AppIDSVC并设置为自动启动,一切看起来都很好。但是,当我开始将策略规则插入 AppLocker(具体来说,.dll 规则)时,我在事件查看器中收到以下错误:
AppID 策略转换失败。状态访问被拒绝
用户:SYSTEM
这基本上就是我得到的全部信息。
为什么要尝试转换策略?这个策略在哪里?我如何授予系统访问权限?
如果我忽略此错误(除非您正在使用具有最近还原点的干净计算机,否则这不是一个好主意)并继续配置 AppLocker,它将在该会话中起作用。当我重新启动时,在 BIOS 加载后,操作系统没有加载,我得到一个灰色屏幕,需要恢复。
这显然不太好,我一直在努力解决这个问题。到目前为止,我还没有在网上找到任何有用的信息,所以非常感谢你的见解或建议。
答案1
此错误的描述可以在 Microsoft 的 Technet 文章中找到将事件查看器与 AppLocker 结合使用, 并且是:
表示策略未正确应用于计算机。提供此状态消息是为了进行故障排除。
您获得的状态是“拒绝访问”,它还会告诉您应该查看的大致方向。 其他人有这个问题当LOCAL SERVICE没有足够的权限修改或删除 处的日志时C:\Windows\System32\config\TxR,所以我怀疑这也是权限问题。(我的意思是,完全不直观和不明显的事情。)
为了准确地追踪它,我能想到的最好的办法就是打开进程监控来自SysInternals 套件在你开始添加 AppLocker 规则之前,然后过滤输出以查看SYSTEM在抛出错误时尝试访问的文件或文件夹。一旦你知道在哪里访问被拒绝,希望这只是明确授予SYSTEM该位置完全控制权的简单问题。
答案2
我见过一些帖子,用户将其从 LOCAL SERVICE 切换到 SYSTEM,然后服务停止工作。你试过将其切换回 LOCAL SERVICE 吗?LOCAL SERVICE 是运行此服务的正确/默认帐户。