Testen und Debuggen von AppId-Taggingrichtlinien

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Hinweis

Einige Funktionen von Windows Defender Application Control (WDAC) sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

Nach der Bereitstellung der WDAC-AppId-Taggingrichtlinie protokolliert WDAC ein 3099-Richtlinienbereitstellungsereignis in den Ereignisanzeige Protokollen. Stellen Sie zunächst sicher, dass die Richtlinie erfolgreich auf dem System bereitgestellt wurde, indem Sie das Vorhandensein des Ereignisses 3099 überprüfen.

Überprüfen von Tags für ausgeführte Prozesse

Nachdem überprüft wurde, ob die Richtlinie bereitgestellt wurde, besteht der nächste Schritt darin, zu überprüfen, ob für die Anwendungsprozesse, die Sie erwarten, dass sie die AppId-Tagging-Richtlinie übergeben, Ihr Tag festgelegt ist. Beachten Sie, dass Prozesse, die zum Zeitpunkt der Richtlinienbereitstellung ausgeführt werden, neu gestartet werden müssen, da Windows Defender Anwendungssteuerung (WDAC) nur Prozesse markieren kann, die nach der Bereitstellung der Richtlinie erstellt wurden.

1. Herunterladen und Installieren des Windows-Debuggers

   Die WinDbg Preview-Anwendung von Microsoft kann aus dem Store heruntergeladen und verwendet werden, um Tags für ausgeführte Prozesse zu überprüfen.

2. Abrufen der Prozess-ID (PID) des Prozesses, der überprüft wird

   Suchen Sie mithilfe des Task-Managers oder eines entsprechenden Prozessüberwachungstools die PID des Prozesses, den Sie überprüfen möchten. Im folgenden Beispiel haben wir die PID für den ausgeführten Prozess für Microsoft Edge auf 2260 festgelegt. Die PID wird im nächsten Schritt verwendet.

   

3. Verwenden von WinDbg zum Überprüfen des Prozesses

   Nach dem Öffnen von WinDbg. Wählen Sie Datei gefolgt von Attach to Processaus, und wählen Sie den Prozess mit der im vorherigen Schritt identifizierten PID aus. Wählen Sie schließlich aus Attach , um eine Verbindung mit dem Prozess herzustellen.

   

   Geben Sie !token schließlich in das Textfeld ein, und drücken Sie dann die EINGABETASTE, um die Sicherheitsattribute für den Prozess abzuspeichern, einschließlich der POLICYAPPID:// gefolgt von der In der Richtlinie festgelegten Taste und dem entsprechenden Wert im Feld Wert[0].