Application Control がランダムに生成されるPowerShellのPS1ファイルの実行を拒否する

技術的な記事 ID: KB91608
最終更新: 2022/10/02

環境

McAfee Application and Change Control (MACC) 8.x, 7.x, 6.x
Microsoft Windows 10 またはそれ以降

問題

Application Control は、ランダムに生成される PowerShell PSScriptPolicyTest*.PS1 ファイルの実行を拒否し、次のようなエラーが記録されます：

Line 36: <EXECUTION_DENIED

file_name="C:\Users\*\AppData\Local\Temp\__PSScriptPolicyTest_gmdvkhx5.wia.ps1"
pid="13376" process_name="c:\windows\system32\windowspowershell\v1.0\powershell.exe"
ppid="4632" parent_process_name="c:\windows\system32\wscript.exe" cksum="f5be042d84b8ee4981cc21e1778101640900ec0d"
cksum256="7d468a48699e4900d143dabb5a7430ade3a132170d804383c1dc2c0f15f52fd5" event_time="1552398302350" event_time_system="Mar 12 2019:13:45:02"
file_type="script" is_system_file="false" deny_reason="File-Unsolidified" is_installer="false" user_name="" />

原因

PowerShell は、AppLocker が有効なシステムで実行されているかどうかを確認するためにテストします。署名のない PowerShell スクリプト (.PS1) をオンザフライで生成し、そのスクリプトを実行します。スクリプトが正常に実行されれば、PowerShell はAppLocker の下で実行されておらず、制約モードにはなりません。しかし、実行に失敗した場合、PowerShell は AppLocker 制限下で実行されていると判断し、Constrained Mode に移行します。

この動作は、PowerShellでは正常とされています。詳しくは、以下を参照してください。
https://deploymentresearch.com/Research/Post/641/PSScriptPolicyTest-script-gets-blocked-by-AppLocker-in-the-event-log-Why-and-what-are-those-files

解決策

現在、PowerShell Constraintモードは設計通りに動作しており、Application Controlは設計通りにレポートされています。

McAfee は、将来のリリースで PowerShell 制約モードを許可するかどうかを調査しています。

この問題が発生した場合は、サービスリクエストを作成し、この記事番号を問題の説明フィールドに追加します。サービスポータルにログオンするように指示されます。

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

影響を受ける製品

言語:

この記事は、次の言語で表示可能です:

Knowledge Center

Application Control がランダムに生成されるPowerShellのPS1ファイルの実行を拒否する

環境

問題

原因

解決策

免責事項

影響を受ける製品

言語:

Title

Title

Knowledge Center

Application Control がランダムに生成されるPowerShellのPS1ファイルの実行を拒否する

環境

問題

原因

解決策

免責事項

影響を受ける製品

言語:

地域を選択してください

Title

Title