我正在研究 WDAC/Windows Defender 应用程序控制策略。我剩下的大约 80% 来自 system32 DLL 文件,有数百个。Windows 10 客户端系统,主要是 20h2。
基本策略几乎是您能获得的最基本的策略。使用 allowmicrosoft.xml 示例策略、推荐的最佳实践阻止驱动程序和应用程序以及 SCCM 允许 MS。失败的 DLL 是 MS 签名的,但返回事件 3091 故障,这些故障将在进入强制模式时被阻止。
所有失败的 DLL 都共享这些证书属性。
[Subject]
CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
[Issuer]
CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
我使用 将链上的证书添加到空白策略中Add-SignerRule -CertificatePath .\signature1.cer -user -kernel -update,然后合并它们。这些证书现在肯定存在,即使它们由于某种原因不是 allowmicrosoft.xml 的一部分。
即使刷新策略后,检查仍然失败。我遗漏了什么?