Windows'da bir dosya için AppLocker karma kuralı oluşturduğunuzda hata oluştu: 0x800700C1: geçerli bir Win32 uygulaması değil

  • Makale

Bu makalede, Windows'da bir dosya için AppLocker karma kuralı oluşturamamanıza neden olan bir sorun açıklanmaktadır.

Şunlar için geçerlidir: Windows 10 – tüm sürümler, Windows Server 2012 R2
Özgün KB numarası: 2749690

Belirtiler

Windows bilgisayardaki bir dosya için AppLocker karma kuralı oluşturmaya çalıştığınızı varsayalım. Ancak kuralı oluşturamazsınız ve aşağıdaki hata iletisini alırsınız:

0x800700C1: geçerli bir Win32 uygulaması değil

Neden

Windows Authenticode İmza Doğrulaması işlevi artık taşınabilir yürütülebilir (PE) dosyaları doğruladığından bu sorun oluşur. Aşağıdaki koşullardan biri doğruysa PE dosyaları imzasız olarak kabul edilir:

  • Windows, dosyadaki Authenticode belirtimiyle uyumlu olmayan içeriği tanımlayabilir. Bu koşul bazı üçüncü taraf yükleyiciler için geçerlidir.
  • İmza uygulandıktan sonra dosyaya ek içerik eklendi.

PE dosyaları için AppLocker karma kuralları, dosyanın SHA2 Authenticode karması temel alır. PE dosyası daha önce bahsedilen iki koşuldan birini karşılıyorsa dosyanın Authenticode karması güvenilir değildir. AppLocker, bu tür dosyaların Authenticode karması işleyemiyor. Bu nedenle, bu tür dosyalar için Publisher veya Karma kuralları oluşturamazsınız.

Çözüm

Windows Authenticode belirtimlerine uymayan içeriğe sahip dosyalar veya imza uygulandıktan sonra değiştirilen dosyalar bilgisayarınız için zararlı olabilir. Bu nedenle, Windows güvenlik gereksinimlerine uygun dosyaları kullanarak bu tür dosyaları değiştirmenizi öneririz. Bunu yapmak için, özgün yazılım yazarıyla birlikte çalışarak gereksinimlere uygun yeni bir dosya yayımlamanız gerekebilir.

Bu tür dosyalarla çalışmaya devam etmeye karar verirseniz, bu dosyaları denetlemek için AppLocker yol tabanlı kurallar oluşturabilirsiniz.

Daha fazla bilgi

Windows 8 ve Windows Server 2012 tabanlı bilgisayarlarda veya MS12-024 güvenlik güncelleştirmesinin yüklü olduğu Windows 7 ve Windows Server 2008 R2 tabanlı bilgisayarlarda, imzalanmamış dosyalar için karma veya yayımcı kuralı oluşturamazsınız. Bu tür dosyalar için yalnızca yol tabanlı kurallar oluşturabilirsiniz. Ayrıca, AppLocker ilkeniz böyle bir dosyayı temel alan bir karma veya yayımcı kuralı içeriyorsa, bu kural artık bu dosya için çalışmaz. Aşağıdaki AppLocker ilkesi bu davranışa bir örnektir:

<AppLockerPolicy Version="1">  
<RuleCollection Type="Exe" EnforcementMode="Enforced">  
<FileHashRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Allow Calculator"   Id="7509591f-7552-4ed0-ac56-7b727cd1f9cf">  
<Conditions>  
<FileHashCondition>  
<FileHash Type="SHA256" SourceFileLength="53344" SourceFileName="calculator.exe"   Data="0x2E8950C38FE3DD02D9F9A012BA9481E7E4704838BB5208E3F7086B6935520A93"/>  
</FileHashCondition>  
              </Conditions>  
</FileHashRule>  
<FilePublisherRule Id="a3ab2d94-c20d-4039-8f2b-6caaff04e816" Name="Deny Contoso"   Description="Deny Games" UserOrGroupSid="S-1-1-0" Action="Deny">  
<Conditions>  
<FilePublisherCondition PublisherName="Contoso" ProductName="Attack of Zombies" BinaryName="*">  
<BinaryVersionRange LowSection="*" HighSection="*" />  
                     </FilePublisherCondition>  
</Conditions>  
        </FilePublisherRule>  
...  
...  
</AppLockerPolicy>

Bu örnekte AppLocker ilkesinin iki kuralı vardır. İlk kural ("Hesaplayıcıya İzin Ver"), Calculator.exe çalışmasına izin veren bir karma kuralıdır. İkinci kural ("Contoso'yu Reddet"), Contoso tarafından yayımlanan Attack of Zombies oyununa ait olan tüm dosyaları engelleyen bir yayımcı kuralıdır. Hem Calculator.exe hem de Zombies.exe daha önce bahsedilen iki koşuldan birini karşıladıkça Windows Authenticode İmza doğrulaması başarısız olur. MS12-024'i uygulamadan önce Calculator.exe "Hesap Makinesine İzin Ver" kuralı tarafından izin verilir ve Zombies.exe "Contoso'yı Reddet" kuralı tarafından engellenir. Ancak, MS12-024'i uyguladıktan sonra AppLocker, Calculator.exe için SHA2 Authenticode karması işleyemiyor ve Zombies.exe imzasız bir dosya olarak kabul ediyor. Bu nedenle, kurallardan hiçbiri tetiklenmez ve beklenmeyen davranışlar oluşur.

Başvurular

Windows Authenticode Taşınabilir Yürütülebilir dosya imza biçimi hakkında daha fazla bilgi için bkz. Windows Authenticode Taşınabilir Yürütülebilir Dosya İmza biçimi hakkında genel bilgiler.