0

我使用这些命令创建了 WDAC 策略。阻止 D:\AnyDesk\anydesk.exe 的执行

  1. $Rule = New-CIPolicyRule -FilePathRule 'D:\AnyDesk*' -deny
  2. New-CIPolicy -UserPEs -MultiplePolicyFormat -FilePath C:\policy\Policy.xml -Rules $Rule -deny
  3. ConvertFrom-CIPolicy -XmlFilePath C:\policy\Policy.xml -BinaryFilePath C:\policy\SIPolicy.p7b

问题:当我运行 D:\AnyDesk\anydesk.exe 时,没有触发任何事件

XML 输出

> <?xml version="1.0" encoding="utf-8"?> <SiPolicy
> xmlns="urn:schemas-microsoft-com:sipolicy" PolicyType="Base Policy">  
> <VersionEx>10.0.0.0</VersionEx>  
> <PlatformID>{2E07F7E4-194C-4D20-B7C9-6F44A6C5A234}</PlatformID>  
> <Rules>
>     <Rule>
>       <Option>Enabled:Unsigned System Integrity Policy</Option>
>     </Rule>
>     <Rule>
>       <Option>Enabled:Audit Mode</Option>
>     </Rule>
>     <Rule>
>       <Option>Enabled:Advanced Boot Options Menu</Option>
>     </Rule>
>     <Rule>
>       <Option>Required:Enforce Store Applications</Option>
>     </Rule>
>     <Rule>
>       <Option>Enabled:UMCI</Option>
>     </Rule>   </Rules>   <!--EKUS-->   <EKUs />   <!--File Rules-->   <FileRules>
>     <Deny ID="ID_DENY_D_1" FriendlyName="D:\AnyDesk\* FileRule" FilePath="D:\AnyDesk\*" />   </FileRules>   <!--Signers-->   <Signers
> />   <!--Driver Signing Scenarios-->   <SigningScenarios>
>     <SigningScenario Value="131" ID="ID_SIGNINGSCENARIO_DRIVERS_1" FriendlyName="Auto generated policy on 06-06-2021">
>       <ProductSigners />
>     </SigningScenario>
>     <SigningScenario Value="12" ID="ID_SIGNINGSCENARIO_WINDOWS" FriendlyName="Auto generated policy on 06-06-2021">
>       <ProductSigners>
>         <FileRulesRef>
>           <FileRuleRef RuleID="ID_DENY_D_1" />
>         </FileRulesRef>
>       </ProductSigners>
>     </SigningScenario>   </SigningScenarios>   <UpdatePolicySigners />   <CiSigners />   <HvciOptions>0</HvciOptions>  
> <BasePolicyID>{54EE7C6B-40FF-4175-916A-5AAB343F74DB}</BasePolicyID>  
> <PolicyID>{54EE7C6B-40FF-4175-916A-5AAB343F74DB}</PolicyID>
> </SiPolicy>

然后我在 GPO 中添加了文件路径。这是在重新启动时自动替换 C:\Windows\System32\CodeIntegrity\Policy.p7b 。

使用的 GPO 路径

管理模板 > 系统 > 设备保护 > 部署窗口防御应用程序。

当我运行 D:\AnyDesk\anydesk.exe 时,不会触发任何事件。如果您需要更多信息,请告诉我

使用的事件路径

应用程序和服务日志 > Microsoft > Windows > Device Guard > 操作日志。

4

0 回答 0