Пользователи и профильные специалисты сообщили, что применение PowerShell-скриптов AppLocker/WDAC (Windows Defender Application Control) в Windows 11 24H2 не работает уже несколько месяцев.
В 2023 году Microsoft упростила развёртывание системы AppLocker, но, похоже, разработчики компании не так уж хорошо протестировали эту опцию в 2024 году и даже в 2025 году с ней есть проблемы.
Политики управления приложениями AppLocker помогают корпоративным клиентам управлять приложениями и файлами, которые пользователи могут запускать в своих системах. К ним относятся файлы EXE, скрипты, файлы установщика Windows, файлы DLL, упакованные приложения и установщики приложений.
Проблема, по-видимому, была впервые зафиксирована пользователем CFou на форуме Stack Exchange. Он заметил, что принудительное применение режима ConstrainedLanguage не будет работать, поскольку сеанс PowerShell в конечном итоге будет использовать FullLanguage. Другой пользователь позже предположил, что проблема связана с Windows 11 24H2, поскольку он мог воспроизвести ситуацию стабильно в последней версии Windows.
Позже проблема была подхвачена пользователем Reddit под ником hornetfig в сабреддите sysadmin. Другие участники обсуждения подтвердили, что они также могут воспроизвести проблему в Windows 11 24H2.
Специалист Microsoft Руди Оомс исследовал проблему, чтобы понять, что происходит по-другому в 24H2. Он обнаружил, что проблема, по-видимому, была вызвана несовершенной реализацией нового API WldpCanExecuteFile, который был добавлен в PowerShell 7.3. Вместо этого в предыдущих выпусках PowerShell использовался устаревший API WldpGetLockdownPolicy для обнаружения блокировок системы.
В итоге выяснилось, что Microsoft, похоже, знает об этой проблеме. В компании тестируют патч в PowerShell 7.6-preview.4, который содержит следующее исправление: Fallback to AppLocker after WldpCanExecuteFile.
