Capire gli eventi controllo delle applicazioni
Panoramica degli eventi WDAC
WDAC registra gli eventi quando viene caricato un criterio, quando un file è bloccato o quando un file viene bloccato se in modalità di controllo. Questi eventi di blocco includono informazioni che identificano i criteri e offrono maggiori dettagli sul blocco. WDAC non genera eventi quando è consentito un file binario. È tuttavia possibile attivare gli eventi di controllo consentiti per i file autorizzati da un programma di installazione gestito o da Intelligent Security Graph (ISG), come descritto più avanti in questo articolo.
Log eventi WDAC principali
Gli eventi WDAC vengono generati in due posizioni in Windows Visualizzatore eventi:
- Log di applicazioni e servizi - Microsoft - Windows - CodeIntegrity - Operational include eventi relativi all'attivazione dei criteri di controllo delle applicazioni e al controllo di eseguibili, DLL e driver.
- I log di applicazioni e servizi - Microsoft - Windows - AppLocker - MSI e Script includono eventi relativi al controllo di programmi di installazione msi, script e oggetti COM.
La maggior parte degli errori di app e script che si verificano quando WDAC è attivo può essere diagnosticata usando questi due log eventi. Questo articolo descrive in modo più dettagliato gli eventi presenti in questi log. Per comprendere il significato di diversi elementi di dati, o tag, disponibili nei dettagli di questi eventi, vedere Informazioni sui tag degli eventi del controllo applicazione.
Nota
I log delle applicazioni e dei servizi - Microsoft - Windows - AppLocker - Msi e Gli eventi script non sono inclusi in Windows Server Core Edition.
Eventi di blocco WDAC per eseguibili, DLL e driver
Questi eventi sono disponibili nel registro eventi CodeIntegrity - Operational .
| ID evento | Spiegazione |
|---|---|
| 3004 | Questo evento non è comune e può verificarsi con o senza un criterio di controllo delle applicazioni presente. Indica in genere che un driver del kernel ha tentato di caricare con una firma non valida. Ad esempio, il file potrebbe non essere firmato con WHQL in un sistema in cui è richiesto WHQL. Questo evento viene visualizzato anche per il codice in modalità kernel o utente che lo sviluppatore ha acconsentito esplicitamente a /INTEGRITYCHECK ma non è firmato correttamente. |
| 3033 | Questo evento può verificarsi con o senza un criterio di controllo delle applicazioni presente e deve verificarsi insieme a un evento 3077 se causato dai criteri WDAC. Spesso significa che la firma del file viene revocata o che una firma con l'EKU di firma della durata è scaduta. La presenza dell'EKU di firma della durata è l'unico caso in cui WDAC blocca i file a causa di una firma scaduta. Provare a usare l'opzione 20 Enabled:Revoked Expired As Unsigned nei criteri insieme a una regola (ad esempio, hash) che non si basa sul certificato revocato o scaduto.Questo evento si verifica anche se il codice compilato con Code Integrity Guard (CIG) tenta di caricare altro codice che non soddisfa i requisiti della libreria di distribuzione.This event also occurs if code compiled with Code Integrity Guard (CIG) tries to load other code that doesn't meet the CIG requirements.This event also occurs if code compiled with Code Integrity Guard (CIG) tries to load other code that doesn't meet the CIG requirements. |
| 3034 | Questo evento non è comune. È l'equivalente della modalità di controllo dell'evento 3033. |
| 3076 | Questo evento è l'evento principale del blocco di controllo delle applicazioni per i criteri della modalità di controllo. Indica che il file sarebbe stato bloccato se i criteri sono stati applicati. |
| 3077 | Questo evento è l'evento principale del blocco di controllo dell'applicazione per i criteri applicati. Indica che il file non ha superato i criteri ed è stato bloccato. |
| 3089 | Questo evento contiene informazioni sulla firma per i file bloccati o bloccati dal controllo dell'applicazione. Uno di questi eventi viene creato per ogni firma di un file. Ogni evento mostra il numero totale di firme trovate e un valore di indice per identificare la firma corrente. I file non firmati generano un singolo di questi eventi con TotalSignatureCount pari a 0. Questi eventi sono correlati agli eventi 3004, 3033, 3034, 3076 e 3077. È possibile trovare una corrispondenza con gli eventi usando l'oggetto Correlation ActivityID trovato nella parte System dell'evento. |
Eventi di blocco WDAC per app in pacchetto, programmi di installazione MSI, script e oggetti COM
Questi eventi si trovano nel registro eventi AppLocker - MSI e Script .
| ID evento | Spiegazione |
|---|---|
| 8028 | Questo evento indica che un host di script, ad esempio PowerShell, ha eseguito query sul controllo applicazione su un file che l'host di script stava per eseguire. Poiché il criterio era in modalità di controllo, lo script o il file MSI avrebbe dovuto essere eseguito, ma non avrebbe superato i criteri WDAC se fosse stato applicato. Alcuni host di script possono avere informazioni aggiuntive nei log. Nota: la maggior parte degli host di script di terze parti non si integra con il controllo applicazione. Considerare i rischi derivanti dagli script non verificati quando si scelgono gli host di script consentiti per l'esecuzione. |
| 8029 | Questo evento è l'equivalente della modalità di imposizione dell'evento 8028. Nota: anche se questo evento indica che uno script è stato bloccato, gli host di script controllano il comportamento effettivo di imposizione dello script. L'host di script può consentire l'esecuzione del file con restrizioni e non bloccare il file in modo definitivo. Ad esempio, PowerShell esegue script non consentiti dai criteri WDAC in modalità linguaggio vincolato. |
| 8036 | L'oggetto COM è stato bloccato. Per altre informazioni sull'autorizzazione dell'oggetto COM, vedere Consentire la registrazione dell'oggetto COM in un Windows Defender criteri di controllo delle applicazioni. |
| 8037 | Questo evento indica che un host di script ha verificato se consentire l'esecuzione di uno script e il file ha passato i criteri WDAC. |
| 8038 | Evento di informazioni sulla firma correlato a un evento 8028 o 8029. Viene generato un evento 8038 per ogni firma di un file di script. Contiene il numero totale di firme in un file di script e un indice sulla firma. I file di script non firmati generano un singolo evento 8038 con TotalSignatureCount 0. Questi eventi sono correlati agli eventi 8028 e 8029 e possono essere confrontati usando l'oggetto Correlation ActivityID presente nella parte System dell'evento. |
| 8039 | Questo evento indica che è stato consentito l'installazione o l'esecuzione di un'app in pacchetto (MSIX/AppX) perché i criteri WDAC sono in modalità di controllo. Tuttavia, sarebbe stato bloccato se il criterio fosse stato applicato. |
| 8040 | Questo evento indica che non è stato possibile installare o eseguire un'app in pacchetto a causa dei criteri WDAC. |
Eventi di attivazione dei criteri WDAC
Questi eventi sono disponibili nel registro eventi CodeIntegrity - Operational .
| ID evento | Spiegazione |
|---|---|
| 3095 | I criteri di controllo delle applicazioni non possono essere aggiornati e devono essere riavviati. |
| 3096 | I criteri di controllo delle applicazioni non sono stati aggiornati perché sono già aggiornati. I dettagli di questo evento includono informazioni utili sui criteri, ad esempio le relative opzioni dei criteri. |
| 3097 | I criteri di controllo delle applicazioni non possono essere aggiornati. |
| 3099 | Indica che è stato caricato un criterio. I dettagli di questo evento includono informazioni utili sui criteri di controllo delle applicazioni, ad esempio le relative opzioni dei criteri. |
| 3100 | I criteri di controllo dell'applicazione sono stati aggiornati ma non sono stati attivati correttamente. Riprova. |
| 3101 | Aggiornamento dei criteri di controllo delle applicazioni avviato per N criteri. |
| 3102 | L'aggiornamento dei criteri di controllo delle applicazioni è stato completato per N criteri. |
| 3103 | Il sistema ignora l'aggiornamento dei criteri di controllo delle applicazioni. Ad esempio, un criterio windows della posta in arrivo che non soddisfa le condizioni per l'attivazione. |
| 3105 | Il sistema sta tentando di aggiornare i criteri di Controllo applicazione con l'ID specificato. |
Eventi di diagnostica per Intelligent Security Graph (ISG) e programma di installazione gestito (MI)
Nota
Quando il programma di installazione gestito è abilitato, i clienti che usano LogAnalytics devono tenere presente che il programma di installazione gestito potrebbe generare molti eventi 3091. I clienti potrebbero dover filtrare questi eventi per evitare costi elevati di LogAnalytics.
Gli eventi seguenti forniscono informazioni di diagnostica utili quando un criterio WDAC include l'opzione ISG o MI. Questi eventi consentono di eseguire il debug del motivo per cui è stato consentito o negato un elemento in base al programma di installazione gestito o al gruppo di sicurezza di azure. Gli eventi 3090, 3091 e 3092 non indicano necessariamente un problema, ma devono essere esaminati nel contesto di altri eventi, ad esempio 3076 o 3077.
Se non diversamente specificato, questi eventi si trovano nel registro eventi CodeIntegrity - Operational o nel registro eventi CodeIntegrity - Verbose a seconda della versione di Windows.
| ID evento | Spiegazione |
|---|---|
| 3090 | Opzionale Questo evento indica che è stato consentito l'esecuzione di un file basato esclusivamente su ISG o sul programma di installazione gestito. |
| 3091 | Questo evento indica che un file non dispone dell'autorizzazione isg o del programma di installazione gestito e che i criteri di controllo delle applicazioni sono in modalità di controllo. |
| 3092 | Questo evento è l'equivalente della modalità di imposizione 3091. |
| 8002 | Questo evento si trova nel log eventi di AppLocker - EXE e DLL . Quando viene avviato un processo che corrisponde a una regola del programma di installazione gestita, questo evento viene generato con PolicyName = MANAGEDINSTALLER trovato nei dettagli dell'evento. Gli eventi con PolicyName = EXE o DLL non sono correlati a WDAC. |
Gli eventi 3090, 3091 e 3092 vengono segnalati per ogni criterio attivo nel sistema, pertanto è possibile che vengano visualizzati più eventi per lo stesso file.
Dettagli dell'evento di diagnostica ISG e MI
Le informazioni seguenti sono disponibili nei dettagli per gli eventi 3090, 3091 e 3092.
| Nome | Spiegazione |
|---|---|
| ManagedInstallerEnabled | Indica se il criterio specificato abilita l'attendibilità del programma di installazione gestito |
| PassaManagedInstaller | Indica se il file ha avuto origine da un MI |
| SmartlockerEnabled | Indica se il criterio specificato abilita l'attendibilità ISG |
| PassSmartlocker | Indica se il file aveva una reputazione positiva in base all'ISG |
| AuditEnabled | True se i criteri di controllo delle applicazioni sono in modalità di controllo, in caso contrario sono in modalità di imposizione |
| PolicyName | Nome dei criteri di controllo delle applicazioni a cui si applica l'evento |
Abilitazione di eventi di diagnostica ISG e MI
Per abilitare gli eventi consentiti 3090, creare una regkey TestFlags con un valore di 0x300 come illustrato nel comando di PowerShell seguente. Riavviare quindi il computer.
reg add hklm\system\currentcontrolset\control\ci -v TestFlags -t REG_DWORD -d 0x300
Gli eventi 3091 e 3092 sono inattivi in alcune versioni di Windows e sono attivati dal comando precedente.
Appendice
Elenco di altri ID evento rilevanti e la relativa descrizione corrispondente.
| ID evento | Descrizione |
|---|---|
| 3001 | È stato effettuato un tentativo di caricamento di un driver non firmato nel sistema. |
| 3002 | L'integrità del codice non è riuscita a verificare l'immagine di avvio perché non è stato possibile trovare l'hash della pagina. |
| 3004 | L'integrità del codice non è riuscita a verificare il file perché non è stato possibile trovare l'hash della pagina. |
| 3010 | Il catalogo contenente la firma per il file in fase di convalida non è valido. |
| 3011 | L'integrità del codice ha completato il caricamento del catalogo delle firme. |
| 3012 | Integrità del codice ha avviato il caricamento del catalogo delle firme. |
| 3023 | Il file del driver sottoposto a convalida non soddisfa i requisiti per passare i criteri di controllo dell'applicazione. |
| 3024 | Il controllo applicazione Windows non è riuscito ad aggiornare il file del catalogo di avvio. |
| 3026 | Microsoft o l'autorità emittente del certificato ha revocato il certificato che ha firmato il catalogo. |
| 3032 | Il file sottoposto a convalida viene revocato o il file ha una firma revocata. |
| 3033 | Il file sottoposto a convalida non soddisfa i requisiti per passare i criteri di controllo dell'applicazione. |
| 3034 | Il file sottoposto a convalida non soddisfa i requisiti per passare i criteri di controllo delle applicazioni se è stato applicato. Il file è stato consentito perché i criteri sono in modalità di controllo. |
| 3036 | Microsoft o l'autorità emittente del certificato ha revocato il certificato che ha firmato il file da convalidare. |
| 3064 | Se i criteri di controllo delle applicazioni sono stati applicati, una DLL in modalità utente con convalida non soddisfa i requisiti per passare i criteri di controllo dell'applicazione. La DLL è stata consentita perché il criterio è in modalità di controllo. |
| 3065 | Se i criteri di controllo delle applicazioni sono stati applicati, una DLL in modalità utente con convalida non soddisfa i requisiti per passare i criteri di controllo dell'applicazione. |
| 3074 | Errore di hash della pagina durante l'abilitazione dell'integrità del codice protetta da hypervisor. |
| 3075 | Questo evento misura le prestazioni del controllo dei criteri di controllo delle applicazioni durante la convalida dei file. |
| 3076 | Questo evento è l'evento principale del blocco di controllo delle applicazioni per i criteri della modalità di controllo. Indica che il file sarebbe stato bloccato se i criteri sono stati applicati. |
| 3077 | Questo evento è l'evento principale del blocco di controllo dell'applicazione per i criteri applicati. Indica che il file non ha superato i criteri ed è stato bloccato. |
| 3079 | Il file sottoposto a convalida non soddisfa i requisiti per passare i criteri di controllo dell'applicazione. |
| 3080 | Se i criteri di controllo delle applicazioni erano in modalità applicata, il file sottoposto a convalida non avrebbe soddisfatto i requisiti per passare i criteri di controllo dell'applicazione. |
| 3081 | Il file sottoposto a convalida non soddisfa i requisiti per passare i criteri di controllo dell'applicazione. |
| 3082 | Se i criteri di controllo delle applicazioni sono stati applicati, il criterio avrebbe bloccato questo driver non WHQL. |
| 3084 | L'integrità del codice applica i requisiti di firma del driver WHQL in questa sessione di avvio. |
| 3085 | L'integrità del codice non applica i requisiti di firma del driver WHQL in questa sessione di avvio. |
| 3086 | Il file sottoposto a convalida non soddisfa i requisiti di firma per un processo IUM (Isolated User Mode). |
| 3089 | Questo evento contiene informazioni sulla firma per i file bloccati o bloccati dal controllo dell'applicazione. Viene creato un evento 3089 per ogni firma di un file. |
| 3090 | Opzionale Questo evento indica che è stato consentito l'esecuzione di un file basato esclusivamente su ISG o sul programma di installazione gestito. |
| 3091 | Questo evento indica che un file non dispone dell'autorizzazione isg o del programma di installazione gestito e che i criteri di controllo delle applicazioni sono in modalità di controllo. |
| 3092 | Questo evento è l'equivalente della modalità di imposizione 3091. |
| 3095 | I criteri di controllo delle applicazioni non possono essere aggiornati e devono essere riavviati. |
| 3096 | I criteri di controllo delle applicazioni non sono stati aggiornati perché sono già aggiornati. |
| 3097 | I criteri di controllo delle applicazioni non possono essere aggiornati. |
| 3099 | Indica che è stato caricato un criterio. Questo evento include anche informazioni sulle opzioni impostate dai criteri di controllo delle applicazioni. |
| 3100 | I criteri di controllo dell'applicazione sono stati aggiornati ma non sono stati attivati correttamente. Riprova. |
| 3101 | Il sistema ha avviato l'aggiornamento dei criteri di controllo delle applicazioni. |
| 3102 | Il sistema ha completato l'aggiornamento dei criteri di controllo delle applicazioni. |
| 3103 | Il sistema ignora l'aggiornamento dei criteri di controllo delle applicazioni. |
| 3104 | Il file sottoposto a convalida non soddisfa i requisiti di firma per un processo PPL (protected process light). |
| 3105 | Il sistema sta tentando di aggiornare i criteri di controllo delle applicazioni. |
| 3108 | L'evento di modifica della modalità Windows ha avuto esito positivo. |
| 3110 | L'evento di modifica della modalità Windows non è riuscito. |
| 3111 | Il file sottoposto a convalida non soddisfa i criteri di integrità del codice protetto da hypervisor . |
| 3112 | Windows ha revocato il certificato che ha firmato il file da convalidare. |
| 3114 | La sicurezza dinamica del codice ha optato per l'app o la DLL .NET nella convalida dei criteri di controllo dell'applicazione. Il file sottoposto a convalida non ha superato i criteri ed è stato bloccato. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per