在 Windows 中为文件创建 AppLocker 哈希规则时0x800700C1:不是有效的 Win32 应用程序
09/21/2020
本文内容
本文介绍了无法为 Windows 中的文件创建 AppLocker 哈希规则的问题。
原始产品版本: Windows 10 – 所有版本,Windows Server 2012 R2
原始 KB 编号: 2749690
症状
假定您尝试为 Windows 计算机上的文件创建 AppLocker 哈希规则。 但是,无法创建规则,并且收到以下错误消息:
0x800700C1:不是有效的 Win32 应用程序
原因
出现此问题的原因是,Windows Authenticode 签名验证功能现在验证 PE (可执行) 文件。 如果满足以下条件之一,则 PE 文件将被视为未签名:
Windows 可以标识不符合文件中 Authenticode 规范的内容。 此条件适用于某些第三方安装程序。
应用签名后,向文件中添加了其他内容。
PE 文件的 AppLocker 哈希规则基于文件的 SHA2 验证码哈希。 如果 PE 文件满足前面提到的两个条件之一,则该文件的 Authenticode 哈希不可信。 AppLocker 无法处理此类文件的 Authenticode 哈希。 因此,无法为此类文件创建发布者或哈希规则。
解决方案
包含不符合 Windows Authenticode 规范的内容的文件或在应用签名后更改的文件可能对您的计算机造成危害。 因此,我们建议你使用符合 Windows 安全要求的文件替换此类文件。 为此,可能需要与原始软件作者合作,以发布符合要求的新文件。
如果你决定继续使用此类文件,可以创建基于 AppLocker 路径的规则来控制这些文件。
更多信息
在基于 Windows 8 和 Windows Server 2012 的计算机上,或在安装了安全更新 MS12-024 的基于 Windows 7 和 Windows Server 2008 R2 的计算机上,无法为未签名文件创建哈希或发布者规则。 只能为此类文件创建基于路径的规则。 此外,如果你的 AppLocker 策略包含基于此类文件的哈希或发布者规则,该规则将不再适用于该文件。 以下 AppLocker 策略是此行为的一个示例:
...
...
本示例中,AppLocker 策略有两个规则。 第一个 ("允许计算器") 是一个哈希规则,允许Calculator.exe运行。 第二个规则 ("Deny Contoso") 是一个发布者规则,可阻止属于 Contoso 发布的"攻击 Zombies"游戏的任何文件。 由于Calculator.exeZombies.exe满足前面提到的两个条件之一,Windows Authenticode 签名验证将失败。 在应用 MS12-024 之前,Calculator.exe允许"允许计算器"规则,Zombies.exe"拒绝 Contoso"规则阻止该规则。 但是,应用 MS12-024 后,AppLocker 无法处理 Calculator.exe 的 SHA2 验证码哈希,并且Zombies.exe文件。 因此,不会触发任何规则,并且会发生意外行为。
参考
有关 Windows Authenticode 可移植可执行文件签名格式的信息,请转到以下 MSDN 网站:
910
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
