Uso del Visualizzatore eventi con AppLocker
Questo argomento elenca gli eventi di AppLocker e descrive come usare il Visualizzatore eventi con AppLocker.
Il log di AppLocker contiene informazioni sulle applicazioni interessate dalle regole di AppLocker. Ogni evento incluso nel log contiene informazioni dettagliate relative a quanto segue:
File interessato e percorso di tale file
App in pacchetto interessata e identificatore di pacchetto dell'app
Esecuzione consentita o bloccata del file o app in pacchetto
Tipo di regola (Percorso, Hash file o Autore)
Nome della regola
ID di sicurezza (SID) dell'utente o del gruppo identificato nella regola
Esamina le voci nel Visualizzatore eventi per determinare se eventuali applicazioni non sono incluse nelle regole generate automaticamente. Ad esempio, alcune app line-of-business sono installate in posizioni non standard, ad esempio la radice dell'unità attiva (%SystemDrive %).
Per info su cosa cercare nei registri eventi di AppLocker, vedi Monitorare l'uso delle app con AppLocker.
Per esaminare il log di AppLocker nel Visualizzatore eventi
Apri il Visualizzatore eventi.
Nell'albero della console in Registri applicazioni e servizi\Microsoft\Windows fai clic su AppLocker.
La tabella seguente contiene informazioni sugli eventi che puoi usare per individuare le app interessate dalle regole di AppLocker.
ID evento | Livello | Messaggio di evento | Descrizione |
---|---|---|---|
8000 |
Errore |
Conversione dei criteri identità dell'applicazione non riuscita. Stato <%1> |
Indica che i criteri non sono stati applicati correttamente al computer. Il messaggio di stato viene visualizzato per la risoluzione dei problemi. |
8001 |
Informazioni |
Applicazione criteri AppLocker al computer completata. |
Indica che i criteri di AppLocker sono stati applicati correttamente al computer. |
8002 |
Informazioni |
Esecuzione di <File name> consentita. |
Specifica che l'esecuzione del file EXE o DLL è consentita da una regola di AppLocker. |
8003 |
Avviso |
Esecuzione di <File name> consentita. Sarebbe stata tuttavia impedita in caso di imposizione dei criteri AppLocker. |
Applicato solo quando la modalità di imposizione Controlla soltanto è abilitata. Specifica che l'esecuzione del file EXE o DLL viene bloccata se la modalità di imposizione Imponi regole è abilitata. |
8004 |
Errore |
Esecuzione di <File name> non consentita. |
L'accesso a <file name> è limitato dall'amministratore. Applicato solo quando la modalità di imposizione Imponi regole è impostata direttamente o indirettamente tramite ereditarietà di Criteri di gruppo. I file EXE o DLL non possono essere eseguiti. |
8005 |
Informazioni |
Esecuzione di <File name> consentita. |
Specifica che l'esecuzione del file di script o MSI è consentita da una regola di AppLocker. |
8006 |
Avviso |
Esecuzione di <File name> consentita. Sarebbe stata tuttavia impedita in caso di imposizione dei criteri AppLocker. |
Applicato solo quando la modalità di imposizione Controlla soltanto è abilitata. Specifica che l'esecuzione del file di script o MSI viene bloccata se la modalità di imposizione Imponi regole è abilitata. |
8007 |
Errore |
Esecuzione di <File name> non consentita. |
L'accesso a <file name> è limitato dall'amministratore. Applicato solo quando la modalità di imposizione Imponi regole è impostata direttamente o indirettamente tramite ereditarietà di Criteri di gruppo. Il file di script o MSI non può essere eseguito. |
8007 |
Errore |
AppLocker disabilitato nella SKU. |
Aggiunto a Windows Server 2012 e Windows 8. |
8020 |
Informazioni |
App in pacchetto consentita. |
Aggiunto a Windows Server 2012 e Windows 8. |
8021 |
Informazioni |
App in pacchetto controllata. |
Aggiunto a Windows Server 2012 e Windows 8. |
8022 |
Informazioni |
App in pacchetto disabilitata. |
Aggiunto a Windows Server 2012 e Windows 8. |
8023 |
Informazioni |
Installazione dell'app in pacchetto consentita. |
Aggiunto a Windows Server 2012 e Windows 8. |
8024 |
Informazioni |
Installazione dell'app in pacchetto controllata. |
Aggiunto a Windows Server 2012 e Windows 8. |
8025 |
Avviso |
Installazione dell'app in pacchetto disabilitata. |
Aggiunto a Windows Server 2012 e Windows 8. |
8027 |
Avviso |
Nessuna regola dell'app in pacchetto configurata. |
Aggiunto a Windows Server 2012 e Windows 8. |