[Reset5]

Цитата dislike:

А че с ними работать? У пользователя нет прав на запись в системные директории. »

Угу, угу.
Понятно что нет. Иногда и чтения достаточно. Вот тебе файл "7.hta"
Заверни в него любой скрипт и попробуй заблокировать.
Это не малварь, если чо, это файл который создаёт в темпе TeamViewer после выхода.

Вот что внутри:

Код:

<html><head><HTA:APPLICATION ID="oHTA" ICON="http://www.teamviewer.com/favicon.ico" BORDER="dialog" CAPTION="yes" MAXIMIZEBUTTON="no" MINIMIZEBUTTON="no" NAVIGABLE="no" CONTEXTMENU="no" INNERBORDER="no" SCROLL="no"/> <title>TeamViewer</title> <script language="javascript">window.resizeTo(500, 550); window.moveTo((window.screen.availWidth-500)/2, (window.screen.availHeight-550)/2);</script></head><frameset rows="*"><frame scrolling="no" src="http://www.teamviewer.com/ru/company/shutdown.aspx?version=11.0.64630 NI"></frameset></html>

Прикол в том, что он унаследует права mshta.exe.
Даже если для AppLocker-а не были созданы дефолтные правила, де-факто он самостоятельно разрешает запуск из system32.
Хотя в документации технета чётко сказано: "Если файл был запрещен для выполнения в коллекции правил, запрещающее действие получит приоритет над любым разрешающим действием независимо от того, в каком объекте групповой политики было изначально применено правило. Так как AppLocker функционирует как разрешенный список по умолчанию, если ни одно из правил явным образом не разрешает или не запрещает выполнение файла, заданное по умолчанию запрещающее действие AppLocker заблокирует файл."
Вот. Человек столкнулся с той же проблемой, это я про него упоминал:
https://www.sysadmins.lv/blog-ru/sek...s-chast-5.aspx
Ответ MS:
https://www.sysadmins.lv/blog-ru/sek...-chast-5a.aspx