上周,微软宣布 Windows 11 24H2 已准备就绪,可以向所有人推出,而且所有人都可以下载。尽管最新功能更新存在一些缺陷。例如,与升级相关的重大错误、广泛的性能投诉以及潜在的数据丢失隐忧。

除此之外,正如国外网友所指出的那样,还有一些问题似乎几个月来一直没有被记录下来,而针对脚本的 AppLocker WDAC(Windows Defender 应用程序控制)执行似乎就是其中之一。

Windows 11 24H2 图片

早在 2023 年,微软就已经让 AppLocker 的部署变得更容易了,但在 2024-2025 年,微软似乎并没有很好地对其进行测试。

具体来说,AppLocker 应用程序控制策略可以帮助企业管理用户可以在其系统上运行的应用程序和文件。这些文件包括 EXE 文件、脚本、Windows 安装程序文件、DLL 文件、打包应用程序和打包应用程序安装程序。

这个问题似乎是由 Stack Exchange 论坛上的用户 CFou 首先发现的。他们注意到 ConstrainedLanguage(受限语言)模式强制执行不起作用,因为 PowerShell 会话最终将使用 FullLanguage。另一位用户随后在该主题上发表评论,认为该问题与 Windows 11 24H2 有关,因为他们可以在最新版本的 Windows 上重现该问题。

后来,Reddit 用户 hornetfig 在 sysadmin 子论坛上发现了这个问题。该主题上的其他人说,他们也能在 Windows 11 24H2 上重现该问题。这是一个巨大的安全隐患,因为它允许所有脚本(包括恶意脚本)不受限制地运行。

微星 Claw 游戏掌机的完整规格和价格已经揭晓

微软 MVP Roody Ooms 调查了这个问题,以了解在 24H2 上发生了什么不同的情况来改变这种行为。他发现,这个问题似乎是由于 PowerShell 7.3 中新增的 WldpCanExecuteFile API 实现不完善造成的。而以前的 PowerShell 版本则使用传统的 WldpGetLockdownPolicy API 来检测系统锁定。

微软似乎意识到了这个问题,并最终做出了改变。PowerShell 7.6-preview.4 包含以下修复,作为引擎改进的一部分:

在 WldpCanExecuteFile 之后回退到 AppLocker (#24912)

有关该错误的更多技术细节,请查看 Roody Ooms 的博文:

https://patchmypc.com/windows-11-24h2-applocker-powershell-constrained-language-broken

周鸿祎警告:未来社会分化 这种人会沦为AI的奴隶