目标是通过暂时停止AppIDSvc(应用程序身份)Windows 服务然后恢复其执行来控制AppLocker。该操作应该在系统用户安全上下文下具有提升权限的另一个 Windows 服务中执行。
默认情况下,AppIDSvc 服务启动类型为手动(触发启动)。这意味着即使使用
ServiceController.Stopsc stop AppIDSvc由于它是受保护的服务,因此调用
ChangeServiceConfigsc config AppIDSvc start= disabled尝试杀死服务进程,即使是在系统用户安全上下文中,也会导致“访问被拒绝”。
唯一对我有用的方法是将
StartHKLM\SYSTEM\CurrentControlSet\Services\AppIDSvc4还可能有以下基于 AppLocker PowerShell cmdlet 的解决方案:
1)备份现有的AppLocker规则;
2)使用“覆盖现有”选项导入“允许所有人”规则;
3)手术后恢复现有的。
它被证明是有效的,但也不适合:它只会替代本地 GPO 规则,域规则不会被覆盖,并且该解决方案需要在域企业网络中工作。
有人可以给建议吗?此外,该解决方案不得降低本机 Windows 安全性。同时,我们可以相信客户已经意识到这一点,甚至更重要的是,他们打算将 AppLocker 暂停一段时间。
如果你想停止AppIdSvc 你可以执行
sc stop appidsvc
sc stop appid