Test e debug dei criteri di assegnazione di tag AppId

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

Dopo la distribuzione del criterio WDAC AppId Tagging, WDAC registrerà un evento di criteri 3099 distribuito nei log di Visualizzatore eventi. È innanzitutto necessario assicurarsi che i criteri siano stati distribuiti correttamente nel sistema verificando la presenza dell'evento 3099.

Verifica dei tag nei processi in esecuzione

Dopo aver verificato che i criteri siano stati distribuiti, il passaggio successivo consiste nel verificare che i processi dell'applicazione che si prevede superino i criteri di assegnazione tag AppId abbiano il tag impostato. Si noti che i processi in esecuzione al momento della distribuzione dei criteri dovranno essere riavviati poiché Windows Defender controllo delle applicazioni (WDAC) può contrassegnare solo i processi creati dopo la distribuzione dei criteri.

1. Scaricare e installare il debugger di Windows

   L'applicazione WinDbg Preview di Microsoft può essere scaricata dallo Store e usata per verificare i tag nei processi in esecuzione.

2. Ottenere l'ID processo (PID) del processo in fase di convalida

   Usando Gestione attività o uno strumento di monitoraggio dei processi equivalente, individuare il PID del processo che si vuole controllare. Nell'esempio seguente il PID per il processo in esecuzione per Microsoft Edge è 2260. Il PID verrà usato nel passaggio successivo.

   

3. Usare WinDbg per esaminare il processo

   Dopo aver aperto WinDbg. selezionare File seguito da Attach to Processe selezionare il processo con il PID identificato nel passaggio precedente. Infine, selezionare Attach per connettersi al processo.

   

   Infine, nella casella di testo digitare !token e quindi premere INVIO per eseguire il dump degli attributi di sicurezza nel processo, inclusi i POLICYAPPID:// seguiti dalla chiave impostata nel criterio e il relativo valore corrispondente nel campo Valore[0].