Contents of this directory is archived and no longer updated.

Update 23.08.2010: добавлен воркэраунд для обхода проблемы.


Оговорюсь сразу, баг был обнаружен не мною, а кем-то с технетов. Но тем не менее я заинтересовался им. Баг состоит в том, что если в правиле пути сам путь содержит буквы неанглийского алфавита, правило просто напросто не применяется! И некоторые вводные данные:

Подверженные ОС:

  • Windows 7 Ultimate/Enterprise (x86/x64)
  • Windows Server 2008 R2 (все редакции)

И вот как его можно проверить:

  1. Войдите в систему с правами локального администратора.

  2. На рабочем столе создайте папку с именем Папка.

  3. Скопируйте в эту папку любой .EXE файл.

  4. Нажмите Start и в поле Search for programs or files введите Local Security Policy. Вы должны увидеть значок редактора локальных политик и нажмите на него. Если появится запрос подтверждения User Account Control, подтвердите операцию или введите пароль своей учётной записи.

  5. В раскрывшемся окне разверните секцию Application Control Policies.

  6. Выделите и разверните секцию AppLocker.

  7. Выберите секцию Executable rules.

  8. Нажмите правой кнопкой мыши на эту секцию и выберите Create Default Rules. Этой операцией вы создадите правила по умолчанию, которые позволят запускать любые исполняемые файлы в %systemroot%, %programfiles% и разрешит запускать абсолютно всё встроенной учётной записи администратора.

  9. Найдите это правило для встроенных администраторов и удалите его. Вот как выглядит правило, которое следует удалить:
    image_c2628dd3f39c486b9d51834d1317bd0f_48723C39

  10. Теперь вы сможете запускать исполняемые файлы только из папок %systemroot% и %programfiles%, а остальные папки будут запрещены для запуска исполняемых файлов. Нажмите правой кнопкой мыши на Executable rules и нажмите Create New Rule.

  11. На странице Before You Begin вы можете узнать основные сведения о мастере. Нажмите Next.

  12. На странице Permissions убедитесь, что Action выставлен в Allow и User or group выставлено в Everyone (значения по умолчанию). Нажмите Next.

  13. На странице Conditions выставьте переключатель в Path и нажмите Next.

  14. На странице Path нажмите Browse Folders. Укажите созданную на рабочем столе папку (по умолчанию это C:\Users\<YourAccountName>\Desktop\Папка) и нажмите Ok. На этой же странице мастера нажмите Create.

  15. Сверните окно консоли MMC.

  16. Переключитесь на рабочий стол, откройте созданную папку и попробуйте запустить файл. И вы получите сообщение об ошибке, что приложение было блокировано групповой политикой.

Примечание: перед выполнением всех операций убедитесь, что у вас запущена служба Application Identity. Для этого вы можете запустить командную строку в elevated mode и выполнить следующую команду:

net start AppIDSvc

Воркэраунд для обхода проблемы опубликован здесь: Очередной баг в AppLocker (обновление)


Share this article:

Comments:

Kazun

Да я столкнулся с этим,но значения сначала не придал.Т.к у меня имя профиля назван русскими буквами,то пришлось использовать wildcard и правило назначать для определенного пользователя(домашний ПК,так что особых хлопот мне не доставило пока). Так что будет ждать вестей.

Vadims Podāns

Если профиль назван русскими буквами, то wildcard пришлось использовать на родительскую папку, т.е. C:\Users?

Kazun

Да, C:\Users\*\Desktop,причем глюк еще наблюдается ,что можно указать только 1 русскую букву впереди A*(Александр),то нормально,все что больше 2-ух букв уже не отрабатывалось.

Vadims Podāns

Теперь понятно. Но в целом, это всё равно никуда не годится.

Comments are closed.