AppLocker 不正確地計算在執行階段在 Windows 7 或 Windows Server 2008 R2 中的某些檔案的雜湊

文章翻譯 文章翻譯
文章編號: 975449 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

Windows 7 或在 Windows Server 2008 R2,AppLocker 可能無法正確計算檔案雜湊,在極少數的特定檔案類型的執行階段。 這些檔案無法執行,雖然它們明顯允許使用具有檔案雜湊條件的 AppLocker 規則執行。如果 AppLocker 規則明確拒絕受到這個問題的檔案,AppLocker 不會防止檔案執行。

發生的原因

當您建立檔案雜湊規則時,AppLocker 計算檔案雜湊,並將此值新增至規則組態。在執行階段,AppLocker 計算檔案的雜湊,並將它與規則組態進行比對。如果雜湊比對,AppLocker 會套用該規則。如果 AppLocker 無法正確計算檔案雜湊的某些檔案在執行階段,規則比較失敗。

沒有可以有這個問題的檔案目前一個已知的種類:
  • 具有標頭大於 32 千位元組 (KB) 的可執行檔案。
    目前,可能會有這個大的標頭檔的可執行檔的唯一已知的一種是 BIOS 韌體更新公用程式包含真實模式 DOS 一部份來啟動直接將更新的 BIOS。

解決方案

如果您遇到這個問題,雜湊規則必須不再用於那些特定檔案。而是,應使用路徑或發行者的規則。

若要將轉換至發行者規則指定的可執行檔的雜湊檔案

附註如果尚未使用信任的發行者簽署應用程式,前往 < 於將雜湊規則轉換為路徑規則 」 一節。
    • 如果您使用網域基礎群組原則] 設定,請依照下列步驟執行:
      • 按一下 [開始]、 在 開始搜尋] 方塊中輸入 GPMC.MSC],然後按下 ENTER 以編輯現有的 AppLocker 群組原則設定]。
      • 展開 [電腦設定],展開 [原則]、 展開 [Windows 設定、 展開 [安全性設定、 展開 [應用程式控制原則、 展開 AppLocker,然後再按一下 可執行檔] 規則
    • 如果您使用本機 [群組原則] 設定,請依照下列步驟執行:
      • 按一下 [開始]、 在 開始搜尋] 方塊中輸入 GPEDIT.MSC],然後按下 ENTER]。
      • 展開 [電腦設定],展開 [Windows 設定、 展開 [安全性設定]、 展開 [應用程式控制原則、 展開 AppLocker,然後再按一下 [可執行檔] 規則
  1. 規則的受影響可執行檔上按一下滑鼠右鍵,然後按一下 [刪除]。
  2. right-Click 可執行檔規則,然後按一下 [建立新規則
  3. 在 [權限] 頁面按一下以選取 [允許] 或 [拒絕] 選項,針對使用者或群組,視需要,然後按一下 [下一步]。
  4. 在 [條件] 頁面上按一下以選取 [發行者] 選項,然後按一下 [下一步]。
  5. 在 [發行者] 頁面上瀏覽] 並選取檔案,使用滑桿來選取要能使用的發行者資訊的詳細資訊,然後再按一下 [下一步]。
  6. 在 [例外] 頁面上需要新增例外狀況,然後按一下 [下一步]。
  7. 在 [的 [名稱] 及 [說明] 頁面上輸入所需的資訊,然後按一下 [建立]。
若要將轉換路徑規則的雜湊規則
    • 如果您使用網域基礎群組原則] 設定,請依照下列步驟執行:
      • 按一下 [開始]、 在 開始搜尋] 方塊中輸入 GPMC.MSC],然後按下 ENTER 以編輯現有的 AppLocker 群組原則設定]。
      • 展開 [電腦設定],展開 [原則]、 展開 [Windows 設定、 展開 [安全性設定、 展開 [應用程式控制原則、 展開 AppLocker,然後再按一下 可執行檔] 規則
    • 如果您使用本機 [群組原則] 設定,請依照下列步驟執行:
      • 按一下 [開始]、 在 開始搜尋] 方塊中輸入 GPEDIT.MSC],然後按下 ENTER]。
      • 展開 [電腦設定],展開 [Windows 設定、 展開 [安全性設定]、 展開 [應用程式控制原則、 展開 AppLocker,然後再按一下 [可執行檔] 規則
  1. 規則的受影響可執行檔上按一下滑鼠右鍵,然後按一下 [刪除]。
  2. right-Click 可執行檔規則,然後按一下 [建立新規則
  3. 在 [權限] 頁面按一下以選取 [允許] 或 [拒絕] 選項,針對使用者或群組,視需要,然後按一下 [下一步]。
  4. 在 [條件] 頁面上按一下以選取 [路徑] 選項,然後按一下 [下一步]。
  5. 在 [發行者] 頁面上瀏覽] 並選取檔案,使用滑桿來選取要能使用的發行者資訊的詳細資訊,然後再按一下 [下一步]。
  6. 在 [例外] 頁面上需要新增例外狀況,然後按一下 [下一步]。
  7. 在 [的 [名稱] 及 [說明] 頁面上輸入所需的資訊,然後按一下 [建立]。

屬性

文章編號: 975449 - 上次校閱: 2009年9月29日 - 版次: 2.0
這篇文章中的資訊適用於:
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
關鍵字:?
kbmt kbtshoot kbexpertisebeginner kbsurveynew kbprb KB975449 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:975449
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com