変更または無効化できないAppLockerルールセットを使用しているように見えるWindows7イメージがあります。
次の手順を実行しても、この強制されたAppLockerミステリールールセットには影響がないようです。
上記はこれから来ています technetの記事 。
これは、applockerpowershellモジュールを使用した結果です。
Import-Module AppLocker
Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path c:\TestScript.bat
FilePath PolicyDecision MatchingRule
-------- -------------- ------------
C:\TestScript.bat AllowedByDefault
スクリプトまたはexeのワイルドカードルールセットを作成すると、このテストはpolicydecisionのAllowedに変わります。
ただし、実際に実行をテストすると、エラーThis program is blocked by group policy...
が表示され、AppLockerイベントログに、空白のRuleNameとゼロのRuleIdで実行を実行できなかったことを示す対応するメッセージがあります。
有効なルールもあるようです。 TestScript.batを管理者として実行した場合(UACがオンの場合)、スクリプトは期待どおりに実行され、すべてのスクリプトのRuleNameで実行が許可されたことを示すイベントが登録されます。このルールは以前の設定からのものである可能性がありますが、見つけたり削除したりできないようです。これらの隠されたルールを削除するにはどうすればよいですか?
私は部分的な解決策を見つけました。有効であったがセキュリティポリシー(secpol.mscまたはgpedit.msc)から隠されていたAppLockerルールは次の場所にあります。
HKLM\SYSTEM\CurrentControlSet\Control\Srp\Gp
ここから、applockerルールを手動で操作することができました。ただし、セキュリティポリシーまたはSet-AppLockerPolicyコマンドレットを使用してこれらのルールを変更することはできません。何かが原因で、システムがAppLockerルールを適用できません。