我使用这些命令创建了 WDAC 策略。阻止 D:\AnyDesk\anydesk.exe 的执行
- $Rule = New-CIPolicyRule -FilePathRule 'D:\AnyDesk*' -deny
- New-CIPolicy -UserPEs -MultiplePolicyFormat -FilePath C:\policy\Policy.xml -Rules $Rule -deny
- ConvertFrom-CIPolicy -XmlFilePath C:\policy\Policy.xml -BinaryFilePath C:\policy\SIPolicy.p7b
问题:当我运行 D:\AnyDesk\anydesk.exe 时,没有触发任何事件
XML 输出
> <?xml version="1.0" encoding="utf-8"?> <SiPolicy
> xmlns="urn:schemas-microsoft-com:sipolicy" PolicyType="Base Policy">
> <VersionEx>10.0.0.0</VersionEx>
> <PlatformID>{2E07F7E4-194C-4D20-B7C9-6F44A6C5A234}</PlatformID>
> <Rules>
> <Rule>
> <Option>Enabled:Unsigned System Integrity Policy</Option>
> </Rule>
> <Rule>
> <Option>Enabled:Audit Mode</Option>
> </Rule>
> <Rule>
> <Option>Enabled:Advanced Boot Options Menu</Option>
> </Rule>
> <Rule>
> <Option>Required:Enforce Store Applications</Option>
> </Rule>
> <Rule>
> <Option>Enabled:UMCI</Option>
> </Rule> </Rules> <!--EKUS--> <EKUs /> <!--File Rules--> <FileRules>
> <Deny ID="ID_DENY_D_1" FriendlyName="D:\AnyDesk\* FileRule" FilePath="D:\AnyDesk\*" /> </FileRules> <!--Signers--> <Signers
> /> <!--Driver Signing Scenarios--> <SigningScenarios>
> <SigningScenario Value="131" ID="ID_SIGNINGSCENARIO_DRIVERS_1" FriendlyName="Auto generated policy on 06-06-2021">
> <ProductSigners />
> </SigningScenario>
> <SigningScenario Value="12" ID="ID_SIGNINGSCENARIO_WINDOWS" FriendlyName="Auto generated policy on 06-06-2021">
> <ProductSigners>
> <FileRulesRef>
> <FileRuleRef RuleID="ID_DENY_D_1" />
> </FileRulesRef>
> </ProductSigners>
> </SigningScenario> </SigningScenarios> <UpdatePolicySigners /> <CiSigners /> <HvciOptions>0</HvciOptions>
> <BasePolicyID>{54EE7C6B-40FF-4175-916A-5AAB343F74DB}</BasePolicyID>
> <PolicyID>{54EE7C6B-40FF-4175-916A-5AAB343F74DB}</PolicyID>
> </SiPolicy>
然后我在 GPO 中添加了文件路径。这是在重新启动时自动替换 C:\Windows\System32\CodeIntegrity\Policy.p7b 。
使用的 GPO 路径
管理模板 > 系统 > 设备保护 > 部署窗口防御应用程序。
当我运行 D:\AnyDesk\anydesk.exe 时,不会触发任何事件。如果您需要更多信息,请告诉我
使用的事件路径
应用程序和服务日志 > Microsoft > Windows > Device Guard > 操作日志。