web-dev-qa-db-ja.com

Windows7の変更不可能なAppLockerルール

変更または無効化できないAppLockerルールセットを使用しているように見えるWindows7イメージがあります。

次の手順を実行しても、この強制されたAppLockerミステリールールセットには影響がないようです。

  • AppIdSvcを無効にする
  • appIdSvcを再起動します
  • ローカルセキュリティポリシーのAppLockerルールセットを更新します(このシステムはドメインの一部ではありません)
  • 上記の任意の組み合わせ

上記はこれから来ています technetの記事

これは、applockerpowershellモジュールを使用した結果です。

Import-Module AppLocker
Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path c:\TestScript.bat

FilePath                             PolicyDecision MatchingRule
--------                             -------------- ------------
C:\TestScript.bat                  AllowedByDefault

スクリプトまたはexeのワイルドカードルールセットを作成すると、このテストはpolicydecisionのAllowedに変わります。

ただし、実際に実行をテストすると、エラーThis program is blocked by group policy...が表示され、AppLockerイベントログに、空白のRuleNameとゼロのRuleIdで実行を実行できなかったことを示す対応するメッセージがあります。

有効なルールもあるようです。 TestScript.batを管理者として実行した場合(UACがオンの場合)、スクリプトは期待どおりに実行され、すべてのスクリプトのRuleNameで実行が許可されたことを示すイベントが登録されます。このルールは以前の設定からのものである可能性がありますが、見つけたり削除したりできないようです。これらの隠されたルールを削除するにはどうすればよいですか?

1
James Santiago

私は部分的な解決策を見つけました。有効であったがセキュリティポリシー(secpol.mscまたはgpedit.msc)から隠されていたAppLockerルールは次の場所にあります。

HKLM\SYSTEM\CurrentControlSet\Control\Srp\Gp

ここから、applockerルールを手動で操作することができました。ただし、セキュリティポリシーまたはSet-AppLockerPolicyコマンドレットを使用してこれらのルールを変更することはできません。何かが原因で、システムがAppLockerルールを適用できません。

1
James Santiago