Fehler beim Erstellen einer AppLocker-Hashregel für eine Datei in Windows: 0x800700C1: keine gültige Win32-Anwendung
In diesem Artikel wird ein Problem beschrieben, bei dem Sie keine AppLocker-Hashregel für eine Datei in Windows erstellen können.
Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2749690
Symptome
Angenommen, Sie versuchen, eine AppLocker-Hashregel für eine Datei auf einem Windows-Computer zu erstellen. Sie können die Regel jedoch nicht erstellen, und Sie erhalten die folgende Fehlermeldung:
0x800700C1: Keine gültige Win32-Anwendung
Ursache
Dieses Problem tritt auf, weil die Windows Authenticode-Signaturüberprüfungsfunktion jetzt portable ausführbare Dateien (PE) überprüft. PE-Dateien gelten als nicht signiert, wenn eine der folgenden Bedingungen zutrifft:
- Windows kann Inhalte identifizieren, die nicht der Authenticode-Spezifikation in der Datei entsprechen. Diese Bedingung gilt für einige Installationsprogramme von Drittanbietern.
- Nach dem Anwenden der Signatur wurde der Datei zusätzlicher Inhalt hinzugefügt.
AppLocker-Hashregeln für PE-Dateien basieren auf dem SHA2 Authenticode-Hash der Datei. Wenn eine PE-Datei eine der beiden zuvor erwähnten Bedingungen erfüllt, ist der Authenticode-Hash der Datei nicht vertrauenswürdig. AppLocker kann den Authenticode-Hash solcher Dateien nicht verarbeiten. Daher können Sie keine Herausgeber- oder Hashregeln für solche Dateien erstellen.
Lösung
Dateien mit Inhalten, die nicht den Windows Authenticode-Spezifikationen entsprechen, oder Dateien, die nach dem Anwenden der Signatur geändert wurden, können für Ihren Computer schädlich sein. Daher wird empfohlen, solche Dateien mithilfe der Dateien zu ersetzen, die den Windows-Sicherheitsanforderungen entsprechen. Dazu müssen Sie möglicherweise mit dem ursprünglichen Softwareautor zusammenarbeiten, um eine neue Datei zu veröffentlichen, die den Anforderungen entspricht.
Wenn Sie sich entscheiden, weiterhin mit solchen Dateien zu arbeiten, können Sie appLocker-pfadbasierte Regeln erstellen, um diese Dateien zu steuern.
Weitere Informationen
Auf Windows 8- und Windows Server 2012-basierten Computern oder auf Windows 7- und Windows Server 2008 R2-basierten Computern, auf denen das Sicherheitsupdate MS12-024 installiert ist, können Sie keine Hash- oder Herausgeberregel für nicht signierte Dateien erstellen. Sie können nur pfadbasierte Regeln für solche Dateien erstellen. Wenn Ihre AppLocker-Richtlinie eine Hash- oder Herausgeberregel enthält, die auf einer solchen Datei basiert, funktioniert diese Regel für diese Datei nicht mehr. Die folgende AppLocker-Richtlinie ist ein Beispiel für dieses Verhalten:
<AppLockerPolicy Version="1">
<RuleCollection Type="Exe" EnforcementMode="Enforced">
<FileHashRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Allow Calculator" Id="7509591f-7552-4ed0-ac56-7b727cd1f9cf">
<Conditions>
<FileHashCondition>
<FileHash Type="SHA256" SourceFileLength="53344" SourceFileName="calculator.exe" Data="0x2E8950C38FE3DD02D9F9A012BA9481E7E4704838BB5208E3F7086B6935520A93"/>
</FileHashCondition>
</Conditions>
</FileHashRule>
<FilePublisherRule Id="a3ab2d94-c20d-4039-8f2b-6caaff04e816" Name="Deny Contoso" Description="Deny Games" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="Contoso" ProductName="Attack of Zombies" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
...
...
</AppLockerPolicy>
In diesem Beispiel verfügt die AppLocker-Richtlinie über zwei Regeln. Die erste Regel ("Allow Calculator") ist eine Hashregel, mit der Calculator.exe ausgeführt werden kann. Die zweite Regel ("Contoso verweigern") ist eine Herausgeberregel, die jede Datei blockiert, die zum Von Contoso veröffentlichten Spiel Attack of Zombies gehört. Da sowohl Calculator.exe als auch Zombies.exe eine der beiden zuvor erwähnten Bedingungen erfüllen, schlägt die Überprüfung der Windows Authenticode-Signatur fehl. Bevor Sie MS12-024 anwenden, wird Calculator.exe durch die Regel "Rechner zulassen" zugelassen, und Zombies.exe wird durch die Regel "Contoso verweigern" blockiert. Nachdem Sie MS12-024 angewendet haben, kann AppLocker den SHA2 Authenticode-Hash für Calculator.exe jedoch nicht verarbeiten und betrachtet Zombies.exe als unsignierte Datei. Daher wird keine der Regeln ausgelöst, und es tritt ein unerwartetes Verhalten auf.
References
Weitere Informationen zum Windows Authenticode Portable Executable-Dateisignaturformat finden Sie unter Allgemeine Informationen zum Windows Authenticode Portable Executable-Dateiformat.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für