Windows 7不可更改的AppLocker规则

Question

我有一个windows 7图像，它使用的是我无法修改或禁用的applocker规则集。

执行以下操作似乎对此强制执行的AppLocker神秘规则集没有任何影响：

• 禁用AppIdSvc
• 重新启动AppIdSvc
• 更新本地安全策略中的AppLocker规则集(此系统不是域的一部分)
• 以上任何组合

以上内容来自于这个technet文章technet文章。

这是使用模块的结果：

Import-Module AppLocker
Get-AppLockerPolicy -Effective | Test-AppLockerPolicy -Path c:\TestScript.bat

FilePath                             PolicyDecision MatchingRule
--------                             -------------- ------------
C:\TestScript.bat                  AllowedByDefault

如果我为脚本或exes创建通配符规则集，则此测试将更改为允许策略决策。

但是，在实际测试执行时，我收到了错误This program is blocked by group policy...，并且在AppLocker事件日志中有一条相应的消息，说明该执行不能使用空白的RuleName和零值的RuleId运行。

似乎也有一些有效的规则。如果我以管理员身份运行TestScript.bat (UAC是打开的)，那么脚本将按预期执行，一个事件将被注册，声明所有脚本的RuleName都允许执行。这个规则可能来自早期的设置，但我似乎无法找到或删除它。我怎样才能删除这些隐藏的规则？

Answer 1

我找到了一个部分的解决方案。有效但不受位于此处的安全策略(secpol.msc或gpedit.msc)影响的secpol.msc规则：

HKLM\SYSTEM\CurrentControlSet\Control\Srp\Gp

从这里开始，我能够手动操作applocker规则。但是，我仍然无法通过安全策略或Set-AppLockerPolicy修改这些规则。有些东西阻止了系统应用AppLocker规则。