C'è un errore:
interfacce COM, *non* file/cartelle...
Regole applicazioni normali ->espandile->cerca la regola asterisco (*)
permessi generici (di default!) su ASK fatto salvo Dll/COM su permit.
Gli accessi alle interfacce COM, dunque, sembrerebbero ammessi.
Ma è proprio cosi'?
NO, perchè esplorando la regola in questione (*) si scopre che 10 interfacce sono non solo elencate ma anche settate su ASK.
ASK, in questo caso, ha priorità> di PERMIT per i motivi che hai spiegato qualche post fà.
Il problema, xò, è che questo filtro sulle 10 interfacce critiche verrebbe effettuato solo sulle applicazioni/processi del ramo "applicazioni normali" MA NON per i processi di sistema settati invece su PERMIT che, in questo caso, hanno priorità > essendo le rispettive regole nel ramo gruppi "System" in basso nel ruleset...
---------------------
La 2° parte si riferisce proprio a quello che dici te...
---------------------
EDIT
---------------------
per renedere ancora + semplice la 1° parte del mio discorso, uso l'immagine che mi hai postato te.
L'ultima voce è "Accesso Interfacce COM".
Bene, è quella voce che dicevo di modificare da permit (default!) ad
ignore per explorer/lsass/services/svchost.
In questo modo, se ad es explorer accede ad una delle famose 10 interfacce protette impostate nella regola asterisco[*], è proprio la regola asterisco che entra in gioco visto l'attributo "ignora" che è collegato al processo coinvolto, explorer.exe, per quanto questo nello schema generale abbia priorità > rispetto ad asterisco[*]...
A default, invece, passerebbe qualsiasi azione di questa natura (sulle interfacce!) visto che PERMIT avrebbe priorità > su ASK collegato a[*]...