Я работаю над политикой управления приложениями WDAC/Windows Defender. Около 80% того, что у меня осталось, это сотни DLL-файлов system32. Клиентские системы Windows 10, в основном 20х2.
Базовый полис — это примерно столько акций, сколько вы можете получить. Разрешите MS, используя образец политики allowmicrosoft.xml, рекомендуемые передовые методы блокирования драйверов и приложений, а также SCCM. Библиотеки DLL выходят из строя, подписаны MS, но возвращаются с ошибками события 3091, которые будут заблокированы при переходе в принудительный режим.
Все сбойные библиотеки DLL используют эти атрибуты сертификата.
[Предмет]
CN=Microsoft Windows, O=Microsoft Corporation, L=Редмонд, S=Вашингтон, C=США
[Эмитент]
CN = Microsoft Windows Production PCA 2011, O = Microsoft Corporation, L = Редмонд, S = Вашингтон, C = США
Я добавил сертификаты в цепочке в пустую политику, используя Add-SignerRule -CertificatePath .\signature1.cer -user -kernel -update, и объединил их. Эти сертификаты определенно должны существовать сейчас, даже если по какой-то причине они не были частью allowmicrosoft.xml.
Проверка по-прежнему завершается ошибкой даже после обновления политики. Что мне не хватает?
