Проблемы с PowerShell-скриптами AppLocker/WDAC в Windows 11 24H2: пользователи продолжают сталкиваться с нарушениями работы

Пользователи и специализированные эксперты сообщили, что использование PowerShell-скриптов с AppLocker/WDAC (Windows Defender Application Control) в Windows 11 версии 24H2 не функционирует на протяжении нескольких месяцев.

В 2023 году Microsoft упростила процесс развертывания AppLocker, но, похоже, при тестировании этой функции в 2024 и даже в 2025 годах возникли проблемы.

Политики управления приложениями AppLocker позволяют компаниям управлять приложениями и файлами, которые пользователи могут запускать на своих устройствах. Это включает EXE-файлы, скрипты, инсталляторы Windows, DLL-файлы, упакованные приложения и инсталляторы программ.

Согласно имеющейся информации, проблема, вероятно, была первоначально обнаружена пользователем CFou на форуме Stack Exchange. Он отметил, что принудительное применение режима ConstrainedLanguage не работает, так как в определённых сеансах PowerShell в конечном итоге используется FullLanguage. Позже другой участник предположил, что неисправность может быть связана с Windows 11 24H2, поскольку ему удалось стабильно воспроизвести проблему в этой версии ОС.

Далее, информация о проблеме была поднята пользователем hornetfig в сабреддите sysadmin на платформе Reddit. Другие участники обсуждения также подтвердили возможность воспроизведения неисправности в Windows 11 24H2.

Специалист Microsoft Руди Оомс провел исследование проблемы, чтобы выяснить, что именно изменилось в 24H2. Он пришел к выводу, что неисправность, похоже, вызвана не до конца проработанной реализацией нового API WldpCanExecuteFile, добавленного в PowerShell 7.3. Ранее использовался устаревший API WldpGetLockdownPolicy для выявления блокировок системы.

В конечном итоге выяснилось, что Microsoft осведомлена об этой проблеме. В компании в данный момент тестируют патч в PowerShell 7.6-preview.4, который включает исправление: возврат к AppLocker после WldpCanExecuteFile.