WhatsApp не сохраняет файлы при SRP: пути в GPO

WhatsApp не сохраняет файлы при активной SRP обычно потому, что приложение (особенно версия из Microsoft Store) пишет вложения во внутренний кэш пакета — путь Service Worker / CacheStorage — который не включён в белый список GPO. Решение: добавить в SRP конкретные пути к локальному кэшу пакета и служебным временным папкам либо создать правило по издателю/сертификату; пример рабочего пути и объяснение есть в Microsoft Q&A. Для поиска заблокированных процессов полезны события 865 и рекомендации из обсуждения на Хабр Q&A.

---

Содержание

• WhatsApp не сохраняет файлы при SRP — суть проблемы
• Какие пути и правила добавить в белый список SRP (конкретные примеры)
• Правила по сертификату и хеши — когда использовать
• Диагностика: где смотреть события 865 и как тестировать изменения
• Риски и рекомендации: не делать белый список слишком широким
• Источники
• Заключение

---

WhatsApp не сохраняет файлы при SRP — суть проблемы

При работе WhatsApp Desktop (особенно версии из Microsoft Store или на базе Chromium‑WebView) полученные файлы сначала записываются во внутренний кэш приложения (Service Worker / CacheStorage) или во временные папки пакета. Если SRP настроен как «Запрещено» по умолчанию и в белом списке нет именно этих путей, процесс записи блокируется — при попытке «Сохранить» ничего не происходит, но в журнале появляются события блокировки (Event ID 865). В конкретном случае на Microsoft Q&A была указана точная папка кэша:
C:\Users\<пользователь>\AppData\Local\Packages\<PackageId>\LocalCache\Roaming\WhatsApp\Service Worker\CacheStorage\<hash>... — после добавления такого пути в SRP проблема исчезла (Microsoft Q&A).
Также полезно помнить: обновления WhatsApp привели к появлению дополнительных фоновых процессов (Chromium‑подобных), которые тоже могут блокироваться — про это есть обсуждение на Хабр Q&A.

---

Какие пути и правила добавить в белый список SRP для WhatsApp (конкретные примеры)

Ниже — практический набор правил, которые чаще всего решают проблему. Сначала добавляйте самые узкие (конкретный кэш/папку пакета), затем, при необходимости, расширяйте.

Рекомендуемые path‑правила (SRP — Additional Rules → New Path Rule, Action = Unrestricted):

• Конкретный Service Worker / CacheStorage (обязателен для Store‑версии WhatsApp):
• C:\Users*\AppData\Local\Packages*\LocalCache\Roaming\WhatsApp\Service Worker\CacheStorage*
• Шире для LocalCache пакета:
• C:\Users*\AppData\Local\Packages*\LocalCache\Roaming\WhatsApp*
• Обычные папки WhatsApp (если вы их уже разрешили — оставьте):
• C:\Users*\AppData\Local\WhatsApp*
• C:\Users*\AppData\Roaming\WhatsApp*
• C:\Users*\AppData\Local\WhatsApp\Media*
• C:\Users*\AppData\Local\WhatsApp\Temp*
• Папки, используемые диалогом «Сохранить как» и временные операции:
• C:\Users*\Downloads*
• C:\Users*\AppData\Local\Temp* (по возможности сузьте до подпапки, используемой WhatsApp)
• C:\Windows\Temp* (только при необходимости)

Примечание: вместо * можно использовать %username% при ручной настройке на локальной машине, но в GPO удобнее — шаблон с * для подстановки имени пользователя и идентификатора пакета. Частичный список путей и рекомендации по ним есть в обзоре локальных папок WhatsApp на bestim.org.

Конкретные советы по оформлению правил:

• Дайте каждому правилу понятное имя (например, “WhatsApp ServiceWorker Cache”).
• Начните с самого узкого пути (CacheStorage). Если после обновления приложения появятся новые заблокированные исполняемые файлы — добавляйте именно их, а не всю папку Packages.
• Избегайте слишком общих правил (например, C:\Users*\AppData\Local\Packages*), если можно сузить до *WhatsApp* или конкретного PackageId.

---

Правила по сертификату и хеши — что лучше для домена с SRP?

Варианты правил SRP (кратко — плюсы/минусы):

• Certificate (Publisher) rule
• Плюсы: устойчива к обновлениям исполняемого файла; безопаснее, чем широкие path‑правила.
• Минусы: для UWP/Store‑пакетов подпись может быть от Microsoft или иметь отличную структуру; иногда невозможно однозначно захватить нужную подпись.
• Как создать: в GPO — Computer Configuration → Windows Settings → Security Settings → Software Restriction Policies → Additional Rules → New Certificate Rule → выбрать исполняемый файл (локально), SRP возьмёт издателя.
• Hash rule
• Плюсы: сразу разрешает конкретный файл — удобно для быстрых тестов.
• Минусы: ломается при каждом обновлении (новый хеш) — не годится для долгосрочного решения.
• Path rule (показанные выше)
• Плюсы: просты и срабатывают для кешей/временных файлов.
• Минусы: риск слишком широкого охвата.

Если удаётся получить корректную подпись WhatsApp (или подпись Chromium‑движка, который использует приложение), лучше добавить certificate‑rule для издателя и ограничить path‑правила только для кэша/Media. Для Store‑приложений в ряде случаев удобнее перевести политику на AppLocker, который поддерживает правила для пакетированных приложений и Package Family Name (если инфраструктура позволяет).

---

Диагностика: где смотреть события 865 и как тестировать изменения

Как быстро выяснить, что именно SRP блокирует:

1. Воспроизведите проблему на тестовой машине: откройте чат, нажмите «Сохранить» на файле.
2. Откройте Просмотр событий (Event Viewer) и найдите записи SRP с Event ID 865 — в сообщении будет указан путь к исполняемому файлу или операции, которую SRP заблокировал. Это главный источник правдивой информации о том, что добавить в белый список (см. обсуждение диагностики на Хабр Q&A).
3. На основе пути добавьте самое узкое правило (path или certificate). Примените GPO: gpupdate /force на клиенте и перезапустите WhatsApp.

Тестирование:

• Добавьте правило для конкретного CacheStorage, выполните gpupdate, откройте WhatsApp и попробуйте сохранить файл.
• Если сохраняется — постепенно сверните набор временных/папочных правил в безопасный минимум.
• Если не сохраняется — проверьте новые записи Event ID 865, там же будет подсказка о заблокированном исполняемом файле (может понадобиться добавить правило для фонового процесса Chromium).

---

Риски и рекомендации: не делать белый список слишком широким

• Не разрешайте C:\Users*\AppData\Local\Packages* глобально без фильтрации на WhatsApp — это откроет доступ к кэшу многих приложений. Лучше использовать маску с *WhatsApp* или конкретный PackageId.
• Hash‑правила удобны для теста, но не для продакшена — обновления приложения приведут к отказу.
• Certificate‑правила — хороший компромисс, но убедитесь, что вы выбрали именно издателя WhatsApp/Meta, а не общий сертификат Microsoft (если вы разрешите Microsoft глобально, это расширит привилегии лишним приложениям).
• Рассмотрите переход на AppLocker, если нужно поддерживать правила для UWP/Store‑пакетов и правил издателя на уровне домена — AppLocker даёт более гибкую и безопасную модель по сравнению с устаревающим SRP.

---

Источники

• https://learn.microsoft.com/ru-ru/answers/questions/3783463/whatsapp
• https://qna.habr.com/q/1406212
• https://bestim.org/ru/gde-na-kompyutere-hranyatsya-fayly-s-whatsapp.html

---

Заключение

Коротко: если WhatsApp не сохраняет файлы при активной SRP, скорее всего не разрешён путь Service Worker / CacheStorage пакета или заблокированы фоновые (Chromium‑) процессы. Добавьте в белый список SRP конкретные пути к LocalCache\Roaming\WhatsApp\Service Worker\CacheStorage и к папкам Media/Temp/Downloads; по возможности создайте certificate‑rule для подписи приложения; используйте Event ID 865 в журнале для точной идентификации заблокированных файлов. Это решит проблему сохранения файлов через GPO без отключения SRP.