Политика WDAC не блокирует путь, и событие не запускается

Я создал политику WDAC с помощью этих команд. чтобы заблокировать выполнение D: \ AnyDesk \ anydesk.exe

  1. $ Правило = New-CIPolicyRule -FilePathRule 'D: \ AnyDesk*' -deny
  2. Новый-CIPolicy -UserPEs -MultiplePolicyFormat -FilePath C: \ policy \ Policy.xml -Rules $Rule -deny
  3. ConvertFrom-CIPolicy -XmlFilePath C: \ policy \ Policy.xml -BinaryFilePath C: \ policy \ SIPolicy.p7b

Проблема: когда я запускаю D: \ AnyDesk \ anydesk.exe, событие не запускается

Вывод XML

      > <?xml version="1.0" encoding="utf-8"?> <SiPolicy
> xmlns="urn:schemas-microsoft-com:sipolicy" PolicyType="Base Policy">  
> <VersionEx>10.0.0.0</VersionEx>  
> <PlatformID>{2E07F7E4-194C-4D20-B7C9-6F44A6C5A234}</PlatformID>  
> <Rules>
>     <Rule>
>       <Option>Enabled:Unsigned System Integrity Policy</Option>
>     </Rule>
>     <Rule>
>       <Option>Enabled:Audit Mode</Option>
>     </Rule>
>     <Rule>
>       <Option>Enabled:Advanced Boot Options Menu</Option>
>     </Rule>
>     <Rule>
>       <Option>Required:Enforce Store Applications</Option>
>     </Rule>
>     <Rule>
>       <Option>Enabled:UMCI</Option>
>     </Rule>   </Rules>   <!--EKUS-->   <EKUs />   <!--File Rules-->   <FileRules>
>     <Deny ID="ID_DENY_D_1" FriendlyName="D:\AnyDesk\* FileRule" FilePath="D:\AnyDesk\*" />   </FileRules>   <!--Signers-->   <Signers
> />   <!--Driver Signing Scenarios-->   <SigningScenarios>
>     <SigningScenario Value="131" ID="ID_SIGNINGSCENARIO_DRIVERS_1" FriendlyName="Auto generated policy on 06-06-2021">
>       <ProductSigners />
>     </SigningScenario>
>     <SigningScenario Value="12" ID="ID_SIGNINGSCENARIO_WINDOWS" FriendlyName="Auto generated policy on 06-06-2021">
>       <ProductSigners>
>         <FileRulesRef>
>           <FileRuleRef RuleID="ID_DENY_D_1" />
>         </FileRulesRef>
>       </ProductSigners>
>     </SigningScenario>   </SigningScenarios>   <UpdatePolicySigners />   <CiSigners />   <HvciOptions>0</HvciOptions>  
> <BasePolicyID>{54EE7C6B-40FF-4175-916A-5AAB343F74DB}</BasePolicyID>  
> <PolicyID>{54EE7C6B-40FF-4175-916A-5AAB343F74DB}</PolicyID>
> </SiPolicy>

Затем я добавил путь к файлу в GPO. который автоматически заменяет C: \ Windows \ System32 \ CodeIntegrity \ Policy.p7b при перезапуске.

Путь к GPO используется

Административные шаблоны> система> защита устройства> развертывание приложений защитника окон.

и когда я запускаю D: \ AnyDesk \ anydesk.exe, событие не запускается. Скажите, пожалуйста, если вам нужна дополнительная информация

Путь к событию использован

Журналы приложений и служб> Microsoft> Windows> Device Guard> Рабочий журнал.

Источник

0 ответов

Другие вопросы по тегам