深度防御——微软之道（第93部分）：Windows 11上的SRP/SAFER白名单机制失效

大家好，

两年半前，我曾发布《深度防御——微软之道（第82部分）：无效/伪造的AppLocker规则在Windows 11 22H2上禁用SAFER》（https://seclists.org/fulldisclosure/2023/Feb/13）。

几天后，Andy Ful在《Windows 11上的SRP》（https://seclists.org/fulldisclosure/2023/Mar/1）中提出了持续性修正。

现在（很遗憾我无法确定具体时间），SAFER在Windows 11 24H2上显示出以下错误：尽管存在允许在%SystemRoot%及其子目录中执行的路径规则，它仍然阻止了%SystemRoot%\System32\SecurityHealth\10.0.27840.1000-0\SecurityHealthHost.exe的执行（实际上：它应用了默认规则而不是匹配的路径规则！）。

通过脚本（https://skanthak.hier-im-netz.de/download/NTX_SAFER.INF）配置SAFER设置和规则集，并在https://skanthak.hier-im-netz.de/SAFER.html中记录后，当非特权用户尝试打开“Windows安全中心”时，以下行会多次写入%SystemRoot%\System32\LogFiles\SAFER.LOG：

| svchost.exe (PID = 1234) identified | \?\C:\Windows\System32\SecurityHealth\10.0.27840.1000-0\SecurityHealthHost.exe | as Disallowed using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}

保持关注，并远离漏洞百出的Windows 11。

Stefan Kanthak

——————————————————————————————————————————— 通过Full Disclosure邮件列表发送 https://nmap.org/mailman/listinfo/fulldisclosure 网页存档和RSS：https://seclists.org/fulldisclosure/