Проблема с идентификатором AppLocker в Windows 10
Я ' м пытаюсь включить AppLocker в Windows 10 Enterprise.
У меня включены AppID и AppIDSVC , установлен автоматический запуск, и все выглядит хорошо. Однако, когда я начинаю вставлять правила политики в AppLocker (в частности, правила .dll), я получаю следующую ошибку в средстве просмотра событий:
Ошибка преобразования политики AppID. Статус Доступ запрещен
Пользователь: SYSTEM
Это в основном вся информация, которую я получаю.
Почему он пытается преобразовать политику? Где эта политика? Как предоставить системе доступ?
Если я проигнорирую эту ошибку (что не является хорошей идеей, если вы не работаете на чистой машине с недавними точками восстановления) и продолжу настраивать AppLocker, он работает для этого сеанса. Когда я перезагружаюсь, после загрузки BIOS, ОС не работает, у меня серый экран, и мне нужно восстановить.
Это явно не хорошо, и я работал круглосуточно, пытаясь это исправить. Я пока не нашел в Интернете ничего полезного, так что я буду благодарен за понимание или совет.
Описание этой ошибки можно найти в статье Microsoft Technet Использование средства просмотра событий с AppLocker , и это:
Указывает, что политика не была правильно применена к компьютеру. Сообщение о состоянии предоставляется для устранения неполадок.
Статус, который вы получаете, - «доступ запрещен», который также сообщает вам, в каком общем направлении смотреть. У кого-то еще была эта проблема , когда ЛОКАЛЬНАЯ СЛУЖБА не имела прав на изменение или удаление журналов в C: \ Windows \ System32 \ config \ TxR , так что это тип проблемы с разрешениями я подозреваю и здесь. (Под этим я подразумеваю нечто совершенно не интуитивное и неочевидное.)
Чтобы точно отследить это, лучшее, что я могу придумать, - это открыть Process Monitor из SysInternals Suite непосредственно перед тем, как вы начнете добавлять свои правила AppLocker, а затем фильтровать вывод, чтобы увидеть, к какому файлу или папке SYSTEM пытается получить доступ, когда возникает ошибка. Как только вы узнаете , где доступ запрещен, можно надеяться, что это просто вопрос явного предоставления SYSTEM полного управления местоположению.
Я видел сообщения, в которых пользователь переключил его с LOCAL SERVICE на SYSTEM, и служба перестала работать. Вы пробовали переключить его обратно на МЕСТНОЕ ОБСЛУЖИВАНИЕ? ЛОКАЛЬНАЯ СЛУЖБА - это правильная учетная запись / учетная запись по умолчанию для запуска этой службы.