Guía de solución de problemas y referencia técnica del instalador administrado e ISG

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de Application Control.

Habilitación del instalador administrado y eventos de registro de Intelligent Security Graph (ISG)

Consulte Descripción de los eventos de Control de aplicaciones para obtener información sobre cómo habilitar eventos de diagnóstico opcionales del instalador administrado.

Uso de fsutil para consultar atributos extendidos para El instalador administrado (MI)

Los clientes que usan Windows Defender Control de aplicaciones (WDAC) con el instalador administrado (MI) habilitado pueden usar fsutil.exe para determinar si un proceso de instalador administrado creó un archivo. Esta comprobación se realiza consultando los atributos extendidos (EAs) en un archivo mediante fsutil.exe y buscando el KERNEL. SMARTLOCKER. ORIGINCLAIM EA. A continuación, puede usar los datos de la primera fila de salida para identificar si un instalador administrado creó el archivo. Por ejemplo, echemos un vistazo a la salida fsutil.exe de un archivo denominado application.exe:

Por ejemplo:

fsutil.exe file queryEA C:\Users\Temp\Downloads\application.exe

Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:

Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e

En la salida mostrada anteriormente, busque la primera fila de datos con la etiqueta "0000:", seguida de 16 conjuntos de dos caracteres. Cada cuatro conjuntos forman un grupo conocido como ULONG. El conjunto de dos caracteres situado al principio del primer ULONG siempre será "01", como se muestra aquí:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00

Si hay "00" en la quinta posición de la salida (el inicio del segundo ULONG), esto indica que el ea está relacionado con el instalador administrado:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00

Por último, el conjunto de dos caracteres en la novena posición de la salida (el inicio del tercer ULONG) indica si el archivo se creó mediante un proceso que se ejecuta como instalador administrado. Un valor de "00" significa que el archivo se escribió directamente mediante un proceso de instalador administrado y se ejecutará si la directiva WDAC confía en los instaladores administrados.

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00

Si, en su lugar, el valor inicial del tercer ULONG es "02", esto indica un "elemento secundario del elemento secundario". "Secundario del elemento secundario" se establece en cualquier archivo creado por algo que haya instalado un instalador administrado. Sin embargo, el archivo se creó después de que el instalador administrado completara su trabajo. Por lo tanto, este archivo no podría ejecutarse a menos que haya alguna otra regla en la directiva para permitirlo.

En casos poco frecuentes, es posible que vea otros valores en esta posición, pero que también se ejecutarán si la directiva confía en el instalador administrado.

Uso de fsutil para consultar atributos extendidos para Intelligent Security Graph (ISG)

Cuando se ejecuta un instalador que tiene buena reputación según el ISG, los archivos que escribe el instalador en el disco heredarán la reputación del instalador. Estos archivos con confianza heredada de ISG también tendrán el KERNEL. SMARTLOCKER. ORIGINCLAIM EA establecido como se describió anteriormente para los instaladores administrados. Puede identificar que el ISG creó el EA buscando el valor "01" en la quinta posición de la salida (el inicio del segundo ULONG) desde fsutil:

0000: 01 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00

Pasos para la solución de problemas de Managed Installer e ISG

Tanto el instalador administrado como el ISG dependen de AppLocker para proporcionar cierta funcionalidad. Siga estos pasos para confirmar que AppLocker está configurado y en ejecución correctamente.

1. Compruebe que se están ejecutando los servicios de AppLocker. Desde una ventana de PowerShell con privilegios elevados, ejecute lo siguiente y confirme que STATE se muestra como RUNNING para appidsvc y AppLockerFltr:

   sc.exe query appidsvc
       SERVICE_NAME: appidsvc
       TYPE               : 30  WIN32
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   sc.exe query AppLockerFltr
       SERVICE_NAME: applockerfltr
       TYPE               : 1  KERNEL_DRIVER
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   

   Si no es así, ejecute appidtel start desde la ventana de PowerShell con privilegios elevados y vuelva a comprobarla.

2. En el caso del instalador administrado, busque AppCache.dat y otros *. Archivos de AppLocker creados en %windir%\System32\AppLocker. Debería haber, como mínimo, un ". AppLocker" creado para cada una de las colecciones de reglas EXE, DLL y MANAGEDINSTALLER. Si no ve estos archivos creados, continúe con el paso siguiente para confirmar que la directiva de AppLocker se ha aplicado correctamente.

3. Para solucionar problemas del instalador administrado, compruebe que la directiva efectiva de AppLocker es correcta. Desde una ventana de PowerShell con privilegios elevados:

   Get-AppLockerPolicy -Effective -XML > $env:USERPROFILE\Desktop\AppLocker.xml
   

   A continuación, abra el archivo XML creado y confirme que contiene las reglas que espera. En concreto, la directiva debe incluir al menos una regla para cada una de las ruleCollections EXE, DLL y MANAGEDINSTALLER. RuleCollections se puede establecer en AuditOnly o Enabled. Además, las RuleCollections EXE y DLL deben incluir la configuración RuleCollectionExtensions como se muestra en Permitir automáticamente aplicaciones implementadas por un instalador administrado con Windows Defender Control de aplicaciones.