Errore durante la creazione di una regola hash di AppLocker per un file in Windows: 0x800700C1: non è un'applicazione Win32 valida
Questo articolo descrive un problema in cui non è possibile creare una regola hash di AppLocker per un file in Windows.
Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 2749690
Sintomi
Si supponga di provare a creare una regola hash di AppLocker per un file in un computer Windows. Tuttavia, non è possibile creare la regola e viene visualizzato il messaggio di errore seguente:
0x800700C1: applicazione Win32 non valida
Causa
Questo problema si verifica perché la funzione Verifica della firma di Windows Authenticode verifica ora i file eseguibili portabili (PE). I file PE vengono considerati senza segno se si verifica una delle condizioni seguenti:
- Windows può identificare il contenuto non conforme alla specifica Authenticode nel file. Questa condizione si applica ad alcuni programmi di installazione di terze parti.
- Il contenuto aggiuntivo è stato aggiunto al file dopo l'applicazione della firma.
Le regole hash di AppLocker per i file PE si basano sull'hash SHA2 Authenticode del file. Se un file PE soddisfa una delle due condizioni indicate in precedenza, l'hash Authenticode del file non è attendibile. AppLocker non è in grado di elaborare l'hash Authenticode di tali file. Pertanto, non è possibile creare regole di pubblicazione o hash per tali file.
Risoluzione
I file con contenuto non conforme alle specifiche di Windows Authenticode o ai file modificati dopo l'applicazione della firma possono essere dannosi per il computer. Pertanto, è consigliabile sostituire tali file usando i file conformi ai requisiti di sicurezza di Windows. A tale scopo, potrebbe essere necessario collaborare con l'autore del software originale per pubblicare un nuovo file conforme ai requisiti.
Se si decide di continuare a usare tali file, è possibile creare regole basate sul percorso di AppLocker per controllare questi file.
Ulteriori informazioni
Nei computer basati su Windows 8 e Windows Server 2012 o nei computer basati su Windows 7 e Windows Server 2008 R2 in cui è installato l'aggiornamento della sicurezza MS12-024, non è possibile creare un hash o una regola di pubblicazione per i file non firmati. È possibile creare solo regole basate su percorso per tali file. Inoltre, se i criteri di AppLocker contengono una regola hash o di pubblicazione basata su tale file, tale regola non funziona più per tale file. I criteri di AppLocker seguenti sono un esempio di questo comportamento:
<AppLockerPolicy Version="1">
<RuleCollection Type="Exe" EnforcementMode="Enforced">
<FileHashRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Allow Calculator" Id="7509591f-7552-4ed0-ac56-7b727cd1f9cf">
<Conditions>
<FileHashCondition>
<FileHash Type="SHA256" SourceFileLength="53344" SourceFileName="calculator.exe" Data="0x2E8950C38FE3DD02D9F9A012BA9481E7E4704838BB5208E3F7086B6935520A93"/>
</FileHashCondition>
</Conditions>
</FileHashRule>
<FilePublisherRule Id="a3ab2d94-c20d-4039-8f2b-6caaff04e816" Name="Deny Contoso" Description="Deny Games" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="Contoso" ProductName="Attack of Zombies" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
...
...
</AppLockerPolicy>
In questo esempio, i criteri di AppLocker hanno due regole. La prima regola ("Consenti calcolatrice") è una regola hash che consente l'esecuzione di Calculator.exe. La seconda regola ("Deny Contoso") è una regola di pubblicazione che blocca qualsiasi file appartenente al gioco Attacco di zombie pubblicato da Contoso. Poiché sia Calculator.exe che Zombies.exe soddisfano una delle due condizioni indicate in precedenza, la verifica della firma di Windows Authenticode non riesce. Prima di applicare MS12-024, Calculator.exe è consentito dalla regola "Consenti calcolatrice" e Zombies.exe è bloccato dalla regola "Nega Contoso". Tuttavia, dopo aver applicato MS12-024, AppLocker non può elaborare l'hash SHA2 Authenticode per Calculator.exe e considera Zombies.exe come un file non firmato. Pertanto, nessuna delle regole viene attivata e si verifica un comportamento imprevisto.
Riferimenti
Per altre informazioni sul formato di firma del file eseguibile portabile Di Windows Authenticode, vedere Informazioni generali sul formato di firma del file eseguibile portabile Di Windows Authenticode.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per