У меня есть окна 7 изображений, которые, кажется, используют applocker ruleset, что я не могу изменить или отключить.
Выполнение следующего, кажется, не имеет никакого эффекта на это, осуществил тайну AppLocker ruleset:
Вышеупомянутое прибывает из этой technet статьи.
Это - результат использования applocker powershell модуль:
Import-Module AppLocker
Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path c:\TestScript.bat
FilePath PolicyDecision MatchingRule
-------- -------------- ------------
C:\TestScript.bat AllowedByDefault
Если я создаю подстановочный знак ruleset для сценариев или exes, этот тест изменяет на Допускавший policydecision.
Однако при фактическом тестировании выполнения, я получаю ошибку This program is blocked by group policy...
и существует соответствующее сообщение в журнале событий AppLocker, указывая, что выполнению препятствовали работать с пустым RuleName и обнулило RuleId.
В действительности также, кажется, существуют правила. Если я выполнил TestScript.bat как администратор (контроль учётных записей идет), затем, сценарий выполнится как ожидалось, событие будет зарегистрировано, указывая, что выполнение было позволено с RuleName Всех сценариев. Это правило, вероятно, прибыло из более ранней установки, но я, может казаться, не нахожу его или не удаляю его. как я могу удалить эти скрытые правила?
Я нашел частичное решение. Правила AppLocker, которые действовали, но были скрыты от политики безопасности (secpol.msc или gpedit.msc), расположены здесь:
HKLM\SYSTEM\CurrentControlSet\Control\Srp\Gp
Отсюда я смог вручную управлять правилами приложения AppLocker. Однако я по-прежнему не могу изменить эти правила с помощью политики безопасности или командлета Set-AppLockerPolicy. Что-то мешает системе применять правила AppLocker.