Windows 10: Блокируются Metro-приложения

Программное обеспечение для мышки HP OMEN Vector Mouse есть только в Магазине Приложений Microsoft. Но, установив его, при запуске я получал сообщение о заблокированном приложении:

This app has been blocked by your system administrator.

 

Windows 10: Блокируются Metro-приложения

Я перепроверил все правила SRP, но там не было запретов. К тому же в Журнале событий была запись о том, что данное приложение блокируется дефолтовыми правилами:

Access to C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_10.4.16.0_x64__v10z8vjag6ke6\win32\HP.Omen.OmenCommandCenter.exe has been restricted by your Administrator by the default software restriction policy level.

Правило SRP, с добавлением этого приложения в белый список НЕ помогало!

Я включил детальное журналирование:

Set-ItemProperty -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers -Name LogFileName -Value 'C:\Users\Denis\Documents\saferlog.txt'

В файл попала такая запись:

svchost.exe (PID = 6212) identified C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_10.4.16.0_x64__v10z8vjag6ke6\win32\HP.Omen.OmenCommandCenter.exe as Disallowed using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}

Она мало чем отличалась от той, что была в Журнале событий, поэтому пришлось искать дальше.

Поскольку это приложение из Магазина Приложений (Microsoft Store app), то операционная система с ним работала по другому. Несмотря на то, что я запускал его через ярлык из Пуска, он запускался через систему «живых плиток» (Live Tiles). Т.е. для такого ярлыка кроме основных действий раздела More (Pin to taskbar, Run as administrator), были доступны расширенные команды (Turn live tile on, App settings, Rate and review, Share). И при этом не было команды «Open file location»:
Windows 10: Блокируются Metro-приложения

Наткнулся на статью из документации MS, в ней в качестве причины указывался инструмент AppLocker. Признаюсь, я не помню, пытался ли я на текущей ОС его настраивать. Знаю только то, что в данный момент AppLocker не был активен (служба «Application Identity» — AppIDSvc остановлена). По идее, его правила не должны были работать, при этом не важно, было заблокировано приложение или нет.

Вообще плитка — это всего лишь ярлык с чуть более расширенным функционалом, поэтому в конечном итоге он просто запускает нужное нам приложение. Например, для настроек мышки это будет такой путь:

"C:\Program Files\WindowsApps\AD2F1837.OMENCommandCenter_10.4.16.0_x64__v10z8vjag6ke6\win32\HP.Omen.OmenCommandCenter.exe"

Однако данное приложение напрямую запустить не получилось — окно заставки появилось, но дальше дело не пошло. Панель управления nVidia в подобном случае запустилась нормально, а это приложение не хочет.

Может это глюк, но его можно побороть, создав новые правила для AppLocker.

Скорее всего глюк, т.к. сработало разрешающее правило SRP:

C:\Program Files\WindowsApps\*

При этом правило, в котором указан полный путь не работало!
Также не работало такое правило:

C:\Program Files\WindowsApps\*\*.exe

 

Создание правил по умолчанию

1. Запускаем оснастку Local Security Policy (с правами администратора):

secpol.msc

2. Переходим в Application Control PoliciesAppLockerPackaged app Rules
3. Нажимаем правую кнопку мыши и выбираем создание дефолтовых правил (Create Default Rules):
Windows 10: Блокируются Metro-приложения
4. Теперь нужно перезагрузить компьютер, либо от админа выполнить обновление политик:

gpupdate /force
Это позволит запускать любое приложение Магазина Приложений, которое установлено в данный момент или будет установлено позже.

 

Создание правил для выбранных приложений


Если же есть желание разрешить запуск конкретно этому приложению, нужно будет создать для него свои правила.
1. Запускаем оснастку Local Security Policy (с правами администратора):

secpol.msc

2. Переходим в Application Control PoliciesAppLockerPackaged app Rules
3. Нажимаем правую кнопку мыши и выбираем создание нового правила (Create New Rule…):
Windows 10: Блокируются Metro-приложения
4. В этом диалоговом окне просто нажимаем кнопку «Next»:
Windows 10: Блокируются Metro-приложения
5. На экране «Permissions» отмечаем создание разрешающего правила (Action: Allow):
Windows 10: Блокируются Metro-приложения
6. На экране «Publisher» нажимаем на кнопку Select, чтобы открыть список приложений:
Windows 10: Блокируются Metro-приложения
7. В этом списке выбираем «Omen Command Center»:
Windows 10: Блокируются Metro-приложения
8. Далее можно поднять селектор повыше, чтобы правило работало для всех версий пакета (уровень 3):
Windows 10: Блокируются Metro-приложения
9. Экран Исключений (Exceptions) пропускаем, просто нажав кнопку Next:
Windows 10: Блокируются Metro-приложения
10. Остаётся последний экран «Name», на котором нужно ввести название, поэтому просто жмём кнопку Create:
Windows 10: Блокируются Metro-приложения

Автоматическое Создание правил

Можно поступить проще и автоматически создать правила для всех установленных на текущий момент приложений Metro.

 

1. Запускаем оснастку Local Security Policy (с правами администратора):

secpol.msc

2. Переходим в Application Control PoliciesAppLockerPackaged app Rules
3. Нажимаем правую кнопку мыши и выбираем Автоматическое создание правил (Automatically Generate Rules…):
Windows 10: Блокируются Metro-приложения
4. На экране «Applications and Permissions» ничего не меняем и просто нажимаем кнопку Next:
Windows 10: Блокируются Metro-приложения
5. Для свойств выбранных правил (экран Rule Preferences) также нажимаем Next:
Windows 10: Блокируются Metro-приложения
6. Остался последний экран «Review Rules», где кнопкой Create просто подтверждаем создание правил:
Windows 10: Блокируются Metro-приложения

Чтобы в будущем не запускать службу AppLocker вручную, можно её выставить в автозапуск:

sc config "AppIDSvc" start=auto & net start "AppIDSvc"


Подписаться
Уведомление о
guest
0 Комментарий
Inline Feedbacks
View all comments