我有一个使用 PsSetCreateProcessNotifyRoutineEx 注册进程创建回调的内核驱动程序。驱动程序使用可执行文件的图像路径与用户服务对话,以执行验证签名和其他属性等操作。如果未验证,它将被阻止。这在用户登录时使用效果很好。它在许多不同的测试环境中启动/重启时也能很好地工作。但是,在一组应用了 GPO 的 AD 连接机器上,机器将在应用计算机设置时挂起。知道这会导致它挂在什么服务或进程上吗?或者任何调试启动过程的好方法。
我启用了 GPO userenv 日志记录。除了可能正在等待连接之外,并没有真正看到太多。但我知道这台机器可以上网,我的用户服务报告也很好。