![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(147.20000000000002, 19%, 24%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EAH%3C/text%3E%3C/svg%3E)
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(284.8, 33%, 37%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EDV%3C/text%3E%3C/svg%3E)
广泛允许从用户可写的临时目录()执行C:\Users\Username\AppData\Local\Temp会使你的AppLocker限制失效,因为标准用户可以在那里丢弃和运行任意文件。为了修复这个安全漏洞,你应该移除弱路径规则,并用第三方应用中的发布者规则替代 secpol.msc 它。这迫使Windows验证的是厂商的数字签名而非文件位置,允许合法安装组件运行,同时阻止同一文件夹中的未授权二进制文件。如果安装文件未签名,你可以实现文件哈希规则,或者采用集中部署策略,将软件安装到受保护的系统目录中,比如 C:\Program Files 在管理上下文中。
多米克