Windows'da bir dosya için AppLocker karma kuralı oluşturduğunuzda hata oluştu: 0x800700C1: geçerli bir Win32 uygulaması değil
Bu makalede, Windows'da bir dosya için AppLocker karma kuralı oluşturamamanıza neden olan bir sorun açıklanmaktadır.
Şunlar için geçerlidir: Windows 10 – tüm sürümler, Windows Server 2012 R2
Özgün KB numarası: 2749690
Belirtiler
Windows bilgisayardaki bir dosya için AppLocker karma kuralı oluşturmaya çalıştığınızı varsayalım. Ancak kuralı oluşturamazsınız ve aşağıdaki hata iletisini alırsınız:
0x800700C1: geçerli bir Win32 uygulaması değil
Neden
Windows Authenticode İmza Doğrulaması işlevi artık taşınabilir yürütülebilir (PE) dosyaları doğruladığından bu sorun oluşur. Aşağıdaki koşullardan biri doğruysa PE dosyaları imzasız olarak kabul edilir:
- Windows, dosyadaki Authenticode belirtimiyle uyumlu olmayan içeriği tanımlayabilir. Bu koşul bazı üçüncü taraf yükleyiciler için geçerlidir.
- İmza uygulandıktan sonra dosyaya ek içerik eklendi.
PE dosyaları için AppLocker karma kuralları, dosyanın SHA2 Authenticode karması temel alır. PE dosyası daha önce bahsedilen iki koşuldan birini karşılıyorsa dosyanın Authenticode karması güvenilir değildir. AppLocker, bu tür dosyaların Authenticode karması işleyemiyor. Bu nedenle, bu tür dosyalar için Publisher veya Karma kuralları oluşturamazsınız.
Çözüm
Windows Authenticode belirtimlerine uymayan içeriğe sahip dosyalar veya imza uygulandıktan sonra değiştirilen dosyalar bilgisayarınız için zararlı olabilir. Bu nedenle, Windows güvenlik gereksinimlerine uygun dosyaları kullanarak bu tür dosyaları değiştirmenizi öneririz. Bunu yapmak için, özgün yazılım yazarıyla birlikte çalışarak gereksinimlere uygun yeni bir dosya yayımlamanız gerekebilir.
Bu tür dosyalarla çalışmaya devam etmeye karar verirseniz, bu dosyaları denetlemek için AppLocker yol tabanlı kurallar oluşturabilirsiniz.
Daha fazla bilgi
Windows 8 ve Windows Server 2012 tabanlı bilgisayarlarda veya MS12-024 güvenlik güncelleştirmesinin yüklü olduğu Windows 7 ve Windows Server 2008 R2 tabanlı bilgisayarlarda, imzalanmamış dosyalar için karma veya yayımcı kuralı oluşturamazsınız. Bu tür dosyalar için yalnızca yol tabanlı kurallar oluşturabilirsiniz. Ayrıca, AppLocker ilkeniz böyle bir dosyayı temel alan bir karma veya yayımcı kuralı içeriyorsa, bu kural artık bu dosya için çalışmaz. Aşağıdaki AppLocker ilkesi bu davranışa bir örnektir:
<AppLockerPolicy Version="1">
<RuleCollection Type="Exe" EnforcementMode="Enforced">
<FileHashRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Allow Calculator" Id="7509591f-7552-4ed0-ac56-7b727cd1f9cf">
<Conditions>
<FileHashCondition>
<FileHash Type="SHA256" SourceFileLength="53344" SourceFileName="calculator.exe" Data="0x2E8950C38FE3DD02D9F9A012BA9481E7E4704838BB5208E3F7086B6935520A93"/>
</FileHashCondition>
</Conditions>
</FileHashRule>
<FilePublisherRule Id="a3ab2d94-c20d-4039-8f2b-6caaff04e816" Name="Deny Contoso" Description="Deny Games" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="Contoso" ProductName="Attack of Zombies" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
...
...
</AppLockerPolicy>
Bu örnekte AppLocker ilkesinin iki kuralı vardır. İlk kural ("Hesaplayıcıya İzin Ver"), Calculator.exe çalışmasına izin veren bir karma kuralıdır. İkinci kural ("Contoso'yu Reddet"), Contoso tarafından yayımlanan Attack of Zombies oyununa ait olan tüm dosyaları engelleyen bir yayımcı kuralıdır. Hem Calculator.exe hem de Zombies.exe daha önce bahsedilen iki koşuldan birini karşıladıkça Windows Authenticode İmza doğrulaması başarısız olur. MS12-024'i uygulamadan önce Calculator.exe "Hesap Makinesine İzin Ver" kuralı tarafından izin verilir ve Zombies.exe "Contoso'yı Reddet" kuralı tarafından engellenir. Ancak, MS12-024'i uyguladıktan sonra AppLocker, Calculator.exe için SHA2 Authenticode karması işleyemiyor ve Zombies.exe imzasız bir dosya olarak kabul ediyor. Bu nedenle, kurallardan hiçbiri tetiklenmez ve beklenmeyen davranışlar oluşur.
Başvurular
Windows Authenticode Taşınabilir Yürütülebilir dosya imza biçimi hakkında daha fazla bilgi için bkz. Windows Authenticode Taşınabilir Yürütülebilir Dosya İmza biçimi hakkında genel bilgiler.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin