Administratorzy odkrywają problemy z wymuszaniem skryptów Windows 11 24H2 PowerShell AppLocker/WDAC, które utrzymują się od miesięcy

Administratorzy odkrywają problemy z wymuszaniem skryptów Windows 11 24H2 PowerShell AppLocker/WDAC, które utrzymują się od miesięcy

Aktualizacja 24H2 systemu Windows 11 firmy Microsoft spotyka się z krytyką z powodu problemów z AppLocker

W zeszłym tygodniu Microsoft ogłosił ogólną dostępność systemu Windows 11 24H2, zachęcając użytkowników do pobrania najnowszej aktualizacji funkcji. Jednak ta implementacja nie obyła się bez kontrowersji, ponieważ pojawiło się kilka istotnych problemów. Użytkownicy zgłaszali poważne błędy związane z uaktualnieniem i spowolnienia wydajności, co budziło obawy o potencjalną utratę danych.

Wyzwania związane z wdrażaniem AppLocker

W 2023 r. Microsoft uprościł wdrażanie AppLocker, funkcji bezpieczeństwa zaprojektowanej, aby pomóc przedsiębiorstwom zarządzać dostępem do aplikacji. Jednak wdrożenie najwyraźniej nie przeszło wystarczających testów w cyklach 2024–2025, co spowodowało znaczne luki w zabezpieczeniach.

Zrozumienie AppLockera i jego znaczenia

AppLocker zapewnia kontrolę aplikacji poprzez definiowanie zasad, które ograniczają, które pliki i aplikacje użytkownicy mogą uruchamiać w swoich systemach. Zasady te obejmują różne typy plików, w tym pliki EXE, skrypty, pakiety instalatora systemu Windows, pliki DLL i spakowane aplikacje.

Raporty użytkowników wskazują na lukę w zabezpieczeniach

Problem po raz pierwszy zwrócił uwagę, gdy użytkownik CFou zgłosił na Stack Exchange, że ConstrainedLanguagetryb w PowerShell nie działał prawidłowo. Zamiast wymuszać ograniczenia, sesja domyślnie przechodziła na FullLanguage. Inny współpracownik potwierdził, że ta usterka była powtarzalna w systemie Windows 11 24H2, w szczególności podnosząc alarmy dotyczące bezpieczeństwa, ponieważ umożliwiała wykonywanie potencjalnie szkodliwych skryptów bez ograniczeń.

Spostrzeżenia społeczności i dalsze badania

Obawy te zostały dodatkowo powtórzone przez użytkownika Reddita hornetfig, który podzielił się podobnymi doświadczeniami na subreddicie sysadmin. Wraz ze wzrostem liczby użytkowników zgłaszających ten sam problem, potencjał wykorzystania go wywołał pilną dyskusję w społeczności.

Analiza techniczna według Microsoft MVP

Roody Ooms, ekspert Microsoft MVP, przeprowadził dochodzenie, które ujawniło, że problemy wynikały z wadliwej implementacji nowego interfejsu WldpCanExecuteFileAPI wprowadzonego w programie PowerShell 7.3. Wersja ta zastąpiła starszy WldpGetLockdownPolicyinterfejs API, który w poprzednich wersjach był wykorzystywany do skutecznego egzekwowania protokołów bezpieczeństwa.

Podziękowania i planowane poprawki firmy Microsoft

Uznając implikacje tej luki w zabezpieczeniach, Microsoft aktywnie pracuje nad rozwiązaniem. Nadchodząca wersja PowerShell 7.6-preview.4 będzie zawierać znaczącą poprawkę w ramach ulepszeń silnika:

Powrót do AppLocker po WldpCanExecuteFile (#24912)

Więcej informacji

Dla osób zainteresowanych bardziej technicznymi informacjami na temat tego trwającego problemu Roody Ooms udostępnił dodatkowe szczegóły w swoim obszernym wpisie na blogu dostępnym tutaj.

Więcej informacji na ten temat znajdziesz w tym źródle.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *