Erreur lors de la création d’une règle de hachage AppLocker pour un fichier dans Windows : 0x800700C1 : application Win32 valide
Cet article décrit un problème dans lequel vous ne pouvez pas créer une règle de hachage AppLocker pour un fichier dans Windows.
Produits concernés : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 2749690
Symptômes
Supposons que vous essayiez de créer une règle de hachage AppLocker pour un fichier sur un ordinateur Windows. Toutefois, vous ne pouvez pas créer la règle et vous recevez le message d’erreur suivant :
0x800700C1 : application Win32 non valide
Cause
Ce problème se produit parce que la fonction vérification de signature Windows Authenticode vérifie désormais les fichiers exécutables portables (PE). Les fichiers PE sont considérés comme non signés si l’une des conditions suivantes est remplie :
- Windows peut identifier le contenu qui n’est pas conforme à la spécification Authenticode dans le fichier. Cette condition s’applique à certains programmes d’installation tiers.
- Du contenu supplémentaire a été ajouté au fichier après l’application de la signature.
Les règles de hachage AppLocker pour les fichiers PE sont basées sur le hachage SHA2 Authenticode du fichier. Si un fichier PE remplit l’une des deux conditions mentionnées précédemment, le hachage Authenticode du fichier n’est pas approuvé. AppLocker ne peut pas traiter le hachage Authenticode de ces fichiers. Par conséquent, vous ne pouvez pas créer de règles de serveur de publication ou de hachage pour ces fichiers.
Résolution
Les fichiers dont le contenu n’est pas conforme aux spécifications Windows Authenticode ou les fichiers qui ont été modifiés après l’application de la signature peuvent être dangereux pour votre ordinateur. Par conséquent, nous vous recommandons de remplacer ces fichiers en utilisant les fichiers conformes aux exigences de sécurité Windows. Pour ce faire, vous devrez peut-être collaborer avec l’auteur du logiciel d’origine pour publier un nouveau fichier conforme aux exigences.
Si vous décidez de continuer à utiliser ces fichiers, vous pouvez créer des règles basées sur le chemin d’accès AppLocker pour contrôler ces fichiers.
Plus d’informations
Sur les ordinateurs Windows 8 et Windows Server 2012, ou sur les ordinateurs Windows 7 et Windows Server 2008 R2 sur lesquels la mise à jour de sécurité MS12-024 est installée, vous ne pouvez pas créer de règle de hachage ou d’éditeur pour les fichiers non signés. Vous pouvez uniquement créer des règles basées sur le chemin d’accès pour ces fichiers. En outre, si votre stratégie AppLocker contient une règle de hachage ou d’éditeur basée sur un tel fichier, cette règle ne fonctionne plus pour ce fichier. La stratégie AppLocker suivante est un exemple de ce comportement :
<AppLockerPolicy Version="1">
<RuleCollection Type="Exe" EnforcementMode="Enforced">
<FileHashRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Allow Calculator" Id="7509591f-7552-4ed0-ac56-7b727cd1f9cf">
<Conditions>
<FileHashCondition>
<FileHash Type="SHA256" SourceFileLength="53344" SourceFileName="calculator.exe" Data="0x2E8950C38FE3DD02D9F9A012BA9481E7E4704838BB5208E3F7086B6935520A93"/>
</FileHashCondition>
</Conditions>
</FileHashRule>
<FilePublisherRule Id="a3ab2d94-c20d-4039-8f2b-6caaff04e816" Name="Deny Contoso" Description="Deny Games" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="Contoso" ProductName="Attack of Zombies" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
...
...
</AppLockerPolicy>
Dans cet exemple, la stratégie AppLocker a deux règles. La première règle (« Allow Calculator ») est une règle de hachage qui permet à Calculator.exe de s’exécuter. La deuxième règle (« Refuser Contoso ») est une règle d’éditeur qui bloque tout fichier appartenant au jeu Attack of Zombies publié par Contoso. Étant donné que Calculator.exe et Zombies.exe remplissent l’une des deux conditions mentionnées précédemment, la vérification de la signature Windows Authenticode échoue. Avant d’appliquer MS12-024, Calculator.exe est autorisé par la règle « Autoriser la calculatrice » et Zombies.exe est bloqué par la règle « Refuser Contoso ». Toutefois, après avoir appliqué MS12-024, AppLocker ne peut pas traiter le hachage SHA2 Authenticode pour Calculator.exe et considère Zombies.exe comme un fichier non signé. Par conséquent, aucune des règles n’est déclenchée et un comportement inattendu se produit.
References
Pour plus d’informations sur le format de signature de fichier exécutable Portable Windows Authenticode, consultez Informations générales sur le format de signature de fichier exécutable Portable Windows Authenticode.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour