Testen und Debuggen von AppId-Taggingrichtlinien
Hinweis
Einige Funktionen von Windows Defender Application Control (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.
Nach der Bereitstellung der WDAC-AppId-Taggingrichtlinie protokolliert WDAC ein 3099-Richtlinienbereitstellungsereignis in den Ereignisanzeige Protokollen. Stellen Sie zunächst sicher, dass die Richtlinie erfolgreich auf dem System bereitgestellt wurde, indem Sie das Vorhandensein des Ereignisses 3099 überprüfen.
Überprüfen von Tags für ausgeführte Prozesse
Nachdem überprüft wurde, ob die Richtlinie bereitgestellt wurde, besteht der nächste Schritt darin, zu überprüfen, ob für die Anwendungsprozesse, die Sie erwarten, dass sie die AppId-Tagging-Richtlinie übergeben, Ihr Tag festgelegt ist. Beachten Sie, dass Prozesse, die zum Zeitpunkt der Richtlinienbereitstellung ausgeführt werden, neu gestartet werden müssen, da Windows Defender Anwendungssteuerung (WDAC) nur Prozesse markieren kann, die nach der Bereitstellung der Richtlinie erstellt wurden.
Herunterladen und Installieren des Windows-Debuggers
Die WinDbg Preview-Anwendung von Microsoft kann aus dem Store heruntergeladen und verwendet werden, um Tags für ausgeführte Prozesse zu überprüfen.
Abrufen der Prozess-ID (PID) des Prozesses, der überprüft wird
Suchen Sie mithilfe des Task-Managers oder eines entsprechenden Prozessüberwachungstools die PID des Prozesses, den Sie überprüfen möchten. Im folgenden Beispiel haben wir die PID für den ausgeführten Prozess für Microsoft Edge auf 2260 festgelegt. Die PID wird im nächsten Schritt verwendet.
Verwenden von WinDbg zum Überprüfen des Prozesses
Nach dem Öffnen von WinDbg. Wählen Sie Datei gefolgt von
Attach to Process
aus, und wählen Sie den Prozess mit der im vorherigen Schritt identifizierten PID aus. Wählen Sie schließlich ausAttach
, um eine Verbindung mit dem Prozess herzustellen.Geben Sie
!token
schließlich in das Textfeld ein, und drücken Sie dann die EINGABETASTE, um die Sicherheitsattribute für den Prozess abzuspeichern, einschließlich der POLICYAPPID:// gefolgt von der In der Richtlinie festgelegten Taste und dem entsprechenden Wert im Feld Wert[0].
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für