Regras do Windows 7 Unchangable AppLocker

1

Eu tenho uma imagem do windows 7 que parece estar usando um conjunto de regras do applocker que não consigo modificar ou desativar.

A execução do seguinte parece não ter efeito nesse conjunto de regras de mistério do AppLocker imposto:

  • Desativando o AppIdSvc
  • reiniciando o AppIdSvc
  • atualizando o conjunto de regras do AppLocker na política de segurança local (esse sistema não faz parte do domínio)
  • Qualquer combinação dos itens acima

O texto acima vem deste artigo de technet .

Este é o resultado do uso do módulo powershell do applocker:

Import-Module AppLocker
Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path c:\TestScript.bat

FilePath                             PolicyDecision MatchingRule
--------                             -------------- ------------
C:\TestScript.bat                  AllowedByDefault

Se eu criar um conjunto de regras curinga para scripts ou exes, esse teste será alterado para Permitido para a decisão de política.

No entanto, ao testar a execução, recebo o erro This program is blocked by group policy... e há uma mensagem correspondente no log de eventos do AppLocker indicando que a execução foi impedida de ser executada com um RuleName em branco e um RuleId zerado.

Também parece haver regras em vigor. Se eu executei o TestScript.bat como um administrador (o UAC está ativado), o script executará como esperado, um evento será registrado informando que a execução foi permitida com um RuleName de todos os scripts. Essa regra provavelmente veio de uma configuração anterior, mas não consigo encontrá-la nem removê-la. Como posso remover essas regras ocultas?

    
por James Santiago 05.11.2014 / 01:28

1 resposta

1

Eu encontrei uma solução parcial. As regras do AppLocker que estavam em vigor, mas ocultas da política de segurança (secpol.msc ou gpedit.msc), estão localizadas aqui:

HKLM\SYSTEM\CurrentControlSet\Control\Srp\Gp

A partir daqui, consegui manipular manualmente as regras do applocker. No entanto, ainda não consigo modificar essas regras por meio da diretiva de segurança ou do cmdlet Set-AppLockerPolicy. Algo está impedindo o sistema de aplicar as regras do AppLocker.

    
por 05.11.2014 / 02:09