Windows 10 AppLockerAppIDの問題
Windows 10EnterpriseでAppLockerを有効にしようとしています。
AppIDとAppIDSVCを有効にして自動起動に設定しましたが、すべて問題ないようです。ただし、ポリシールール(具体的には.dllルール)をAppLockerに挿入し始めると、イベントビューアーで次のエラーが発生します。
AppIDポリシーの変換に失敗しました。ステータスアクセスが拒否されました
ユーザー:SYSTEM
それは基本的に私が得るすべての情報です。
なぜポリシーを変換しようとしているのですか?このポリシーはどこにありますか?システムにアクセスを許可するにはどうすればよいですか?
このエラーを無視し(最近の復元ポイントを使用してクリーンなマシンで作業している場合を除いて、これはお勧めできません)、AppLockerの構成を続行すると、そのセッションで機能します。再起動すると、BIOSがロードされた後、OSがロードされないため、灰色の画面が表示され、復元する必要があります。
これは明らかに良くありません、そして私はそれを修正しようと24時間働いています。これまでインターネットで役立つものは何も見つかりませんでしたので、洞察やアドバイスをいただければ幸いです。
このエラーの説明は、MicrosoftのTechnetの記事 AppLockerでのイベントビューアーの使用 にあり、次のとおりです。
ポリシーがコンピューターに正しく適用されなかったことを示します。ステータスメッセージは、トラブルシューティングの目的で提供されます。
取得しているステータスは「アクセスが拒否されました」です。これにより、一般的な方向も確認できます。 他の誰かがこの問題を抱えていましたLOCAL SERVICEがC:\Windows\System32\config\TxRでログを変更または削除するための十分な権限を持っていなかった場合、それは私がここでも疑うタイプのアクセス許可の問題です。 (つまり、完全に直感的でなく、自明ではないものです。)
正確に追跡するために、私が考えることができる最善のことは、AppLockerルールの追加を開始する直前に、 Sysinternals Suite から Process Monitor を開いてフィルタリングすることです。出力を介して、エラーがスローされたときにSYSTEMがアクセスしようとしているファイルまたはフォルダーを確認します。 whereが拒否されたことがわかったら、その場所にSYSTEMを明示的に完全に制御するだけでよいのです。
ユーザーがローカルサービスからシステムに切り替えてサービスが機能しなくなったという投稿を見ました。ローカルサービスに切り替えてみましたか?ローカルサービスは、このサービスを実行するための正しい/デフォルトのアカウントです。