我有一个Windows 7的图像,似乎使用了我无法修改或禁用的applocker规则集。
执行以下操作似乎对此强制执行的AppLocker神秘规则集没有影响:
以上来自这篇technet文章 。
这是使用applocker powershell模块的结果:
Import-Module AppLocker Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path c:\TestScript.bat FilePath PolicyDecision MatchingRule -------- -------------- ------------ C:\TestScript.bat AllowedByDefault
如果为脚本或exes创build通配符规则集,则此testing将更改为允许进行策略决策。
但是,实际testing执行时,我收到错误This program is blocked by group policy...
并且在AppLocker事件日志中存在相应的消息,指出执行被阻止以空白RuleName和归零RuleId运行。
似乎也有规则是有效的。 如果我以pipe理员身份运行TestScript.bat(UAC处于打开状态),则脚本将按预期方式执行,将会注册一个事件,说明所有脚本的RuleName都允许执行。 这个规则可能来自一个较早的设置,但我似乎无法find它或删除它。 我怎样才能删除这些隐藏的规则?
我find了一个解决scheme。 AppLocker规则有效,但隐藏于安全策略(secpol.msc或gpedit.msc)中,位于以下位置:
HKLM\SYSTEM\CurrentControlSet\Control\Srp\Gp
从这里我能够手动操纵applocker规则。 但是,我仍然无法通过安全策略或Set-AppLockerPolicy cmdlet修改这些规则。 有些东西阻止了系统应用AppLocker规则。