Você está offline; aguardando reconexão

"0x800700C1: não é um aplicativo Win32 válido" Erro ao criar uma regra de hash do AppLocker para um arquivo no Windows 8, Windows Server 2012, o Windows 7 ou Windows Server 2008 R2

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 2749690
Sintomas
Suponha que você tente criar uma regra de hash do AppLocker para um arquivo em um computador que esteja executando um dos seguintes sistemas operacionais:
  • O Windows 8
  • Windows Server 2012
  • Instalado do Windows 7 que possui a atualização de segurança MS12-024
  • Instalada do Windows Server 2008 R2 que possui a atualização de segurança MS12-024
No entanto, não é possível criar a regra e a seguinte mensagem de erro:
0x800700C1: não é um aplicativo Win32 válido
Causa
Esse problema ocorre porque a função de verificação de assinatura de Authenticode do Windows agora verifica arquivos executável portátil (PE). Arquivos PE são considerados não assinados se uma das seguintes condições for verdadeira:
  • O Windows pode identificar conteúdo que não está de acordo com a especificação do Authenticode no arquivo. Essa condição se aplica a alguns instaladores de terceiros.
  • Conteúdo adicional foi adicionado ao arquivo após a assinatura foi aplicada.
Regras de hash do AppLocker para arquivos PE são baseadas em hash SHA2 Authenticode do arquivo. Se um arquivo PE atende a uma das duas condições mencionadas anteriormente, que o hash do arquivo do Authenticode não é confiável. AppLocker não pode processar o hash de Authenticode desses arquivos. Portanto, você não pode criar regras de editor ou Hash para esses arquivos.
Resolução
Arquivos que têm conteúdo que não é compatíveis com as especificações de Authenticode do Windows ou arquivos que foram alterados após a assinatura podem ser prejudiciais para o seu computador. Portanto, recomendamos que você substitua esses arquivos usando os arquivos que estão em conformidade com os requisitos de segurança do Windows. Para fazer isso, talvez você precise trabalhar com o autor do software original para publicar um novo arquivo que está em conformidade com os requisitos.

Se você decidir continuar a trabalhar com esses arquivos, você pode criar regras com base no caminho do AppLocker para controlar esses arquivos.
Mais Informações
Em computadores baseados no Windows Server 2012 e o Windows 8 ou no Windows 7 e computadores baseados no Windows Server 2008 R2 que possuem a atualização de segurança que ms12-024 instalada, é possível criar um hash ou uma regra de editor para arquivos não assinados. Você só pode criar regras baseadas no caminho para esses arquivos. Além disso, se sua diretiva AppLocker contém uma regra de hash ou publisher com base em tal arquivo, essa regra não funciona mais para esse arquivo. A seguinte diretiva AppLocker é um exemplo deste comportamento:
<AppLockerPolicy Version="1"><RuleCollection Type="Exe" EnforcementMode="Enforced"><FileHashRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Allow Calculator" Id="7509591f-7552-4ed0-ac56-7b727cd1f9cf"><Conditions><FileHashCondition><FileHash Type="SHA256" SourceFileLength="53344" SourceFileName="calculator.exe" Data="0x2E8950C38FE3DD02D9F9A012BA9481E7E4704838BB5208E3F7086B6935520A93"/></FileHashCondition>              </Conditions></FileHashRule><FilePublisherRule Id="a3ab2d94-c20d-4039-8f2b-6caaff04e816" Name="Deny Contoso" Description="Deny Games" UserOrGroupSid="S-1-1-0" Action="Deny"><Conditions><FilePublisherCondition PublisherName="Contoso" ProductName="Attack of Zombies" BinaryName="*"><BinaryVersionRange LowSection="*" HighSection="*" />                      </FilePublisherCondition></Conditions>         </FilePublisherRule>……</AppLockerPolicy>
Neste exemplo, a diretiva AppLocker tem duas regras. A primeira regra ("Permitir Calculadora") é uma regra de hash que permite que Calculator.exe a execução. A segunda regra ("Negar Contoso") é uma regra de editor que bloqueia qualquer arquivo que pertence ao jogo de ataque de zumbis publicado pela Contoso. Como Calculator.exe e Zombies.exe ambos atendem a uma das duas condições mencionadas anteriormente, a verificação de assinatura de Authenticode do Windows falha. Antes de aplicar MS12-024, Calculator.exe é permitido pela regra "Permitir Calculadora" e Zombies.exe é bloqueado pela regra "Contoso negar". No entanto, após aplicar MS12-024, AppLocker não pode processar o hash SHA2 Authenticode para Calculator.exe e considera Zombies.exe como um arquivo não assinado. Portanto, nenhuma das regras é disparada e ocorrerá um comportamento inesperado.
Referências
Para obter mais informações sobre o boletim de segurança MS12-024, vá para o seguinte site da Microsoft TechNet:Para obter mais informações sobre o formato de assinatura de arquivo executável portátil do Windows Authenticode, vá para o seguinte site da MSDN:

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 2749690 - Última Revisão: 10/31/2012 14:37:00 - Revisão: 1.0

Windows 7 Enterprise, Windows 7 Ultimate, Windows 7 Professional, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Foundation, Windows 8 Enterprise, Windows 8 Pro, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard

  • kbprb kbsurveynew kbexpertiseadvanced kbmt KB2749690 KbMtpt
Comentários
m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">