Technische Referenz und Anleitung zur Problembehandlung für verwaltete Installationsprogramme und ISG

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Hinweis

Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit des Anwendungssteuerungsfeatures.

Aktivieren von Protokollereignissen für verwaltetes Installationsprogramm und Intelligent Security Graph (ISG)

Informationen zum Aktivieren optionaler Diagnoseereignisse für verwaltete Installationsprogramme finden Sie unter Grundlegendes zu Anwendungssteuerungsereignissen .

Verwenden von fsutil zum Abfragen erweiterter Attribute für Managed Installer (MI)

Kunden, die Windows Defender Anwendungssteuerung (WDAC) mit aktiviertem verwaltetem Installer (MI) verwenden, können fsutil.exe verwenden, um zu bestimmen, ob eine Datei von einem verwalteten Installationsprogrammprozess erstellt wurde. Diese Überprüfung erfolgt durch Abfragen der erweiterten Attribute (EAs) für eine Datei mit fsutil.exe und suchen nach dem KERNEL. SMARTLOCKER. ORIGINCLAIM EA. Anschließend können Sie anhand der Daten aus der ersten Ausgabezeile ermitteln, ob die Datei von einem verwalteten Installationsprogramm erstellt wurde. Betrachten wir beispielsweise die fsutil.exe Ausgabe für eine Datei namens application.exe:

Beispiel:

fsutil.exe file queryEA C:\Users\Temp\Downloads\application.exe

Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:

Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e

Suchen Sie in der oben gezeigten Ausgabe die erste Datenzeile mit der Bezeichnung "0000:", auf die dann 16 Sätze mit zwei Zeichen folgen. Alle vier Sätze bilden eine Gruppe, die als ULONG bezeichnet wird. Der Zweizeichensatz am Anfang des ersten ULONG ist immer "01", wie hier gezeigt:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00

Wenn sich an der fünften Position der Ausgabe "00" befindet (beginn der zweiten ULONG), gibt dies an, dass der EA mit dem verwalteten Installationsprogramm verknüpft ist:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00

Schließlich gibt der Zweizeichensatz an der neunten Position der Ausgabe (start des dritten ULONG) an, ob die Datei von einem Prozess erstellt wurde, der als verwaltetes Installationsprogramm ausgeführt wird. Der Wert "00" bedeutet, dass die Datei direkt von einem verwalteten Installationsprogrammprozess geschrieben wurde und ausgeführt wird, wenn Ihre WDAC-Richtlinie verwalteten Installationsprogrammen vertraut.

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00

Wenn stattdessen der Startwert für die dritte ULONG "02" lautet, gibt dies ein "untergeordnetes Element des untergeordneten Elements" an. "Untergeordnetes Untergeordnetes Element" wird für alle Dateien festgelegt, die von etwas erstellt wurden, das von einem verwalteten Installationsprogramm installiert wurde. Die Datei wurde jedoch erstellt, nachdem das verwaltete Installationsprogramm seine Arbeit abgeschlossen hat. Diese Datei darf also nicht ausgeführt werden, es sei denn, ihre Richtlinie enthält eine andere Regel, die sie zulässt.

In seltenen Fällen werden möglicherweise andere Werte an dieser Position angezeigt, aber dies wird auch ausgeführt, wenn Ihre Richtlinie dem verwalteten Installationsprogramm vertraut.

Verwenden von fsutil zum Abfragen erweiterter Attribute für Intelligent Security Graph (ISG)

Wenn ein Installationsprogramm ausgeführt wird, das gemäß isg einen guten Ruf hat, erben die Dateien, die das Installationsprogramm auf den Datenträger schreibt, den Ruf vom Installationsprogramm. Diese Dateien mit geerbter ISG-Vertrauensstellung verfügen ebenfalls über den KERNEL. SMARTLOCKER. ORIGINCLAIM EA wie oben beschrieben für verwaltete Installationsprogramme festgelegt. Sie können erkennen, dass der EA von der ISG erstellt wurde, indem Sie in fsutil nach dem Wert "01" an der fünften Position der Ausgabe (dem Anfang der zweiten ULONG) suchen:

0000: 01 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00

Weitere Schritte zur Problembehandlung für verwaltetes Installationsprogramm und ISG

Sowohl das verwaltete Installationsprogramm als auch die ISG sind von AppLocker abhängig, um einige Funktionen bereitzustellen. Führen Sie die folgenden Schritte aus, um zu bestätigen, dass AppLocker ordnungsgemäß konfiguriert ist und ausgeführt wird.

1. Überprüfen Sie, ob AppLocker-Dienste ausgeführt werden. Führen Sie in einem PowerShell-Fenster mit erhöhten Rechten Folgendes aus, und vergewissern Sie sich, dass state sowohl für appidsvc als auch für AppLockerFltr als RUNNING angezeigt wird:

   sc.exe query appidsvc
       SERVICE_NAME: appidsvc
       TYPE               : 30  WIN32
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   sc.exe query AppLockerFltr
       SERVICE_NAME: applockerfltr
       TYPE               : 1  KERNEL_DRIVER
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   

   Andernfalls führen Sie appidtel start im PowerShell-Fenster mit erhöhten Rechten aus, und überprüfen Sie dies erneut.

2. Überprüfen Sie für das verwaltete Installationsprogramm auf AppCache.dat und andere *. AppLocker-Dateien, die unter %windir%\System32\AppLocker erstellt wurden. Es sollte mindestens ein ". AppLocker"-Datei, die für jede der EXE-, DLL- und MANAGEDINSTALLER-Regelsammlungen erstellt wurde. Wenn diese Dateien nicht erstellt werden, fahren Sie mit dem nächsten Schritt fort, um zu bestätigen, dass die AppLocker-Richtlinie ordnungsgemäß angewendet wurde.

3. Überprüfen Sie bei der Problembehandlung für verwaltete Installationsprogramme, ob die effektive AppLocker-Richtlinie richtig ist. In einem PowerShell-Fenster mit erhöhten Rechten:

   Get-AppLockerPolicy -Effective -XML > $env:USERPROFILE\Desktop\AppLocker.xml
   

   Öffnen Sie dann die erstellte XML-Datei, und vergewissern Sie sich, dass sie die erwarteten Regeln enthält. Insbesondere sollte die Richtlinie mindestens eine Regel für jede der EXE-, DLL- und MANAGEDINSTALLER-Regelsammlungen enthalten. RuleCollections kann entweder auf AuditOnly oder Enabled festgelegt werden. Darüber hinaus müssen die EXE- und DLL-RuleCollections die RuleCollectionExtensions-Konfiguration enthalten, wie unter Automatisches Zulassen von Apps, die von einem verwalteten Installationsprogramm mit Windows Defender Application Control bereitgestellt werden.