Contents of this directory is archived and no longer updated.

Update 23.08.2010: добавлен воркэраунд для обхода проблемы.


Оговорюсь сразу, баг был обнаружен не мною, а кем-то с технетов. Но тем не менее я заинтересовался им. Баг состоит в том, что если в правиле пути сам путь содержит буквы неанглийского алфавита, правило просто напросто не применяется! И некоторые вводные данные:

Подверженные ОС:

  • Windows 7 Ultimate/Enterprise (x86/x64)
  • Windows Server 2008 R2 (все редакции)

И вот как его можно проверить:

  1. Войдите в систему с правами локального администратора.

  2. На рабочем столе создайте папку с именем Папка.

  3. Скопируйте в эту папку любой .EXE файл.

  4. Нажмите Start и в поле Search for programs or files введите Local Security Policy. Вы должны увидеть значок редактора локальных политик и нажмите на него. Если появится запрос подтверждения User Account Control, подтвердите операцию или введите пароль своей учётной записи.

  5. В раскрывшемся окне разверните секцию Application Control Policies.

  6. Выделите и разверните секцию AppLocker.

  7. Выберите секцию Executable rules.

  8. Нажмите правой кнопкой мыши на эту секцию и выберите Create Default Rules. Этой операцией вы создадите правила по умолчанию, которые позволят запускать любые исполняемые файлы в %systemroot%, %programfiles% и разрешит запускать абсолютно всё встроенной учётной записи администратора.

  9. Найдите это правило для встроенных администраторов и удалите его. Вот как выглядит правило, которое следует удалить:
    image_c2628dd3f39c486b9d51834d1317bd0f_48723C39

  10. Теперь вы сможете запускать исполняемые файлы только из папок %systemroot% и %programfiles%, а остальные папки будут запрещены для запуска исполняемых файлов. Нажмите правой кнопкой мыши на Executable rules и нажмите Create New Rule.

  11. На странице Before You Begin вы можете узнать основные сведения о мастере. Нажмите Next.

  12. На странице Permissions убедитесь, что Action выставлен в Allow и User or group выставлено в Everyone (значения по умолчанию). Нажмите Next.

  13. На странице Conditions выставьте переключатель в Path и нажмите Next.

  14. На странице Path нажмите Browse Folders. Укажите созданную на рабочем столе папку (по умолчанию это C:\Users\<YourAccountName>\Desktop\Папка) и нажмите Ok. На этой же странице мастера нажмите Create.

  15. Сверните окно консоли MMC.

  16. Переключитесь на рабочий стол, откройте созданную папку и попробуйте запустить файл. И вы получите сообщение об ошибке, что приложение было блокировано групповой политикой.

Примечание: перед выполнением всех операций убедитесь, что у вас запущена служба Application Identity. Для этого вы можете запустить командную строку в elevated mode и выполнить следующую команду:

net start AppIDSvc

Воркэраунд для обхода проблемы опубликован здесь: Очередной баг в AppLocker (обновление)


Share this article:

Comments:

Kazun
Kazun 26.07.2010 15:21 (GMT+3) Очередной баг в AppLocker

Да я столкнулся с этим,но значения сначала не придал.Т.к у меня имя профиля назван русскими буквами,то пришлось использовать wildcard и правило назначать для определенного пользователя(домашний ПК,так что особых хлопот мне не доставило пока). Так что будет ждать вестей.

Vadims Podāns
Vadims Podāns 26.07.2010 16:20 (GMT+3) Очередной баг в AppLocker

Если профиль назван русскими буквами, то wildcard пришлось использовать на родительскую папку, т.е. C:\Users?

Kazun
Kazun 26.07.2010 16:46 (GMT+3) Очередной баг в AppLocker

Да, C:\Users\*\Desktop,причем глюк еще наблюдается ,что можно указать только 1 русскую букву впереди A*(Александр),то нормально,все что больше 2-ух букв уже не отрабатывалось.

Vadims Podāns
Vadims Podāns 26.07.2010 17:03 (GMT+3) Очередной баг в AppLocker

Теперь понятно. Но в целом, это всё равно никуда не годится.

Comments are closed.