默认情况下，AppLocker规则允许Windows文件夹和Program 文件夹内的所有文件执行，否则系统将无法正常运行。 如果这些文件夹中没有设置适当的权限，攻击者就可以利用此权限绕过AppLocker。

默认情况下，Windows 环境（Windows Server 2008 R2中进行了检查），允许系统的标准用户在这些文件夹中具有读写权限：

C:WindowsTasks
C:WindowsTemp
C:Windowstracing

accesschk工具可用于确定 “Users”用户组是否具有Windows文件夹内的RW权限。

Windows文件夹的弱权限

下一步是将二进制文件放入具有弱权限的文件夹中并执行它。在本文的演示中，可执行文件是一个合法的应用程序——accesschk64。

AppLocker – 将二进制文件放到弱文件夹中

由于AppLocker规则允许Windows文件夹中包含的文件可以执行，所以该应用程序可以正常运行。 否则它将被AppLocker规则阻止。

AppLocker 的默认规则

AppLocker Bypass – 弱路径规则

结论

默认实现AppLocker并不能提供任何安全措施，因为它可以被轻松的绕过。 由于AppLocker默认情况下信任Microsoft签名的二进制文件和Windows文件夹，因此必须评估可执行代码的权限和可信任的二进制文件，以便能够有效的保护Windows生态系统。