Share via

Déployer des fichiers catalogue pour prendre en charge Windows Defender Application Control

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application ne sont disponibles que sur des versions spécifiques de Windows. Pour plus d’informations, consultez Windows Defender disponibilité des fonctionnalités de contrôle d’application.

Les fichiers catalogue peuvent être importants dans votre déploiement de Windows Defender Application Control (WDAC) si vous avez des applications métier non signées pour lesquelles le processus de signature est difficile. Vous pouvez également utiliser des fichiers catalogue pour ajouter votre propre signature aux applications que vous obtenez des éditeurs de logiciels indépendants (ISV) lorsque vous ne souhaitez pas approuver tout le code signé par cet éditeur de logiciels. De cette façon, les fichiers catalogue vous permettent de « bénir » les applications à utiliser dans votre environnement géré par WDAC. De plus, vous pouvez créer des fichiers catalogue pour des applications existantes sans avoir besoin d’accéder au code source d’origine ou d’avoir besoin d’un repackaging coûteux.

Vous devez obtenir un certificat de signature de code pour votre propre usage et l’utiliser pour signer le fichier catalogue. Ensuite, distribuez le fichier catalogue signé à l’aide de votre mécanisme de déploiement de contenu préféré.

Enfin, ajoutez une règle de signataire à votre stratégie WDAC pour votre certificat de signature. Ensuite, toutes les applications couvertes par vos fichiers catalogue signés peuvent s’exécuter, même si les applications n’ont pas été précédemment signées. Avec cette base, vous pouvez plus facilement créer une stratégie WDAC qui bloque tout le code non signé, car la plupart des programmes malveillants ne sont pas signés.

Créer des fichiers catalogue à l’aide de l’inspecteur de package

Pour créer un fichier catalogue pour une application existante, vous pouvez utiliser un outil appelé Inspecteur de package fourni avec Windows.

  1. Appliquez une stratégie en mode audit à l’ordinateur sur lequel vous exécutez l’inspecteur de package. L’inspecteur de package utilise des événements d’audit pour inclure des hachages dans le fichier catalogue pour tous les fichiers d’installation temporaires qui sont ajoutés, puis supprimés de l’ordinateur pendant le processus d’installation. La stratégie de mode d’audit ne doit pas autoriser les fichiers binaires de l’application ou vous risquez de manquer certains fichiers critiques nécessaires dans le fichier catalogue.

    Remarque

    Vous ne pourrez pas effectuer ce processus s’il est effectué sur un système avec une stratégie appliquée, sauf si la stratégie appliquée autorise déjà l’exécution de l’application.

    Vous pouvez utiliser cet exemple PowerShell pour effectuer une copie du modèle DefaultWindows_Audit.xml :

    Copy-Item -Path $env:windir\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml -Destination $env:USERPROFILE\Desktop\
$PolicyId = Set-CIPolicyIdInfo -FilePath $env:USERPROFILE\Desktop\DefaultWindows_Audit.xml -PolicyName "Package Inspector Audit Policy" -ResetPolicyID
$PolicyBinary = $env:USERPROFILE+"\Desktop\"+$PolicyId.substring(11)+".cip"

    Appliquez ensuite la stratégie comme décrit dans Déployer Windows Defender stratégies de contrôle d’application avec script.

  2. Démarrez l’Inspecteur de package pour surveiller la création de fichiers sur un lecteur local où vous installez l’application, par exemple, le lecteur C :

    PackageInspector.exe Start C:

    Important

    Chaque fichier écrit sur le lecteur que vous regardez avec l’inspecteur de package est inclus dans le catalogue créé. Tenez compte de tous les autres processus susceptibles d’être en cours d’exécution et de création de fichiers sur le lecteur.

  3. Copiez le support d’installation sur le lecteur que vous regardez avec l’Inspecteur de package, afin que le programme d’installation réel soit inclus dans le fichier catalogue final. Si vous ignorez cette étape, vous pouvez autoriser l’application à s’exécuter, mais pas réellement être en mesure de l’installer.

  4. Installez l’application.

  5. Démarrez l’application pour vous assurer que les fichiers créés lors du lancement initial sont inclus dans votre fichier catalogue.

  6. Utilisez l’application comme vous le feriez normalement, afin que les fichiers créés pendant une utilisation normale soient inclus dans votre fichier catalogue. Par exemple, certaines applications peuvent télécharger d’autres fichiers lors de la première utilisation d’une fonctionnalité dans l’application. Veillez également à case activée pour les mises à jour d’application si l’application dispose de cette fonctionnalité.

  7. Fermez et rouvrez l’application pour vous assurer que l’analyse a capturé tous les fichiers binaires.

  8. Le cas échéant, l’inspecteur de package étant toujours en cours d’exécution, répétez les étapes précédentes pour toutes les autres applications que vous souhaitez inclure dans le catalogue.

  9. Une fois que vous avez confirmé que les étapes précédentes sont terminées, utilisez les commandes suivantes pour arrêter l’inspecteur de package. Il crée un fichier catalogue et un fichier de définition de catalogue à l’emplacement spécifié. Utilisez une convention de nommage pour vos fichiers catalogue afin de faciliter la gestion de vos fichiers catalogue déployés au fil du temps. Les noms de fichiers utilisés dans cet exemple sont LOBApp-Contoso.cat (fichier catalogue) et LOBApp.cdf (fichier de définition).

    Pour la dernière commande, qui arrête l’inspecteur de package, veillez à spécifier le lecteur local que vous avez regardé avec l’inspecteur de package, par exemple . C:

    $ExamplePath=$env:userprofile+"\Desktop"
$CatFileName=$ExamplePath+"\LOBApp-Contoso.cat"
$CatDefName=$ExamplePath+"\LOBApp.cdf"
PackageInspector.exe Stop C: -Name $CatFileName -cdfpath $CatDefName

Remarque

L’inspecteur de package catalogue les valeurs de hachage pour chaque fichier découvert. Si les applications analysées sont mises à jour, effectuez à nouveau ce processus pour approuver les valeurs de hachage des nouveaux fichiers binaires.

Lorsque vous avez terminé, l’outil enregistre les fichiers sur votre bureau. Vous pouvez afficher le *.cdf fichier avec un éditeur de texte et voir les fichiers Inspecteur de package inclus. Vous pouvez également double-cliquer sur le *.cat fichier pour afficher son contenu et case activée pour un hachage de fichier spécifique.

Signer votre fichier catalogue

Maintenant que vous avez créé un fichier catalogue pour votre application, vous êtes prêt à le signer. Nous vous recommandons d’utiliser le service Signatures de confiance de Microsoft pour la signature de catalogue. Si vous le souhaitez, vous pouvez signer manuellement le catalogue à l’aide de Signtool en suivant les instructions suivantes.

Signature de catalogue avec SignTool.exe

Si vous avez acheté un certificat de signature de code ou en avez émis un à partir de votre propre infrastructure à clé publique (PKI), vous pouvez utiliser SignTool.exe pour signer vos fichiers catalogue.

Tu as besoin de:

  • SignTool.exe, disponible dans le Kit de développement logiciel (SDK) Windows.
  • Fichier catalogue que vous avez créé précédemment.
  • Certificat de signature de code émis par une autorité de certification interne ou un certificat de signature de code acheté.

Pour le certificat de signature de code que vous utilisez pour signer le fichier catalogue, importez-le dans le magasin personnel de l’utilisateur de signature. Ensuite, signez le fichier catalogue existant en copiant chacune des commandes suivantes dans une session Windows PowerShell avec élévation de privilèges.

  1. Initialisez les variables à utiliser. Remplacez les $ExamplePath variables et $CatFileName si nécessaire :

     $ExamplePath=$env:userprofile+"\Desktop"
 $CatFileName=$ExamplePath+"\LOBApp-Contoso.cat"

  2. Signez le fichier catalogue avec l’outil Signtool.exe :

     <path to signtool.exe> sign /n "ContosoSigningCert" /fd sha256 /v $CatFileName

    Remarque

    La <Path to signtool.exe> variable doit être le chemin complet de l’utilitaire Signtool.exe. ContosoSigningCert représente le nom du sujet du certificat que vous utilisez pour signer le fichier catalogue. Ce certificat doit être importé dans votre magasin de certificats personnels sur l’ordinateur sur lequel vous tentez de signer le fichier catalogue.

    Pour plus d’informations sur Signtool.exe et tous les commutateurs supplémentaires, consultez Outil de signature.

  3. Vérifiez la signature numérique du fichier catalogue. Cliquez avec le bouton droit sur le fichier catalogue, puis sélectionnez Propriétés. Dans l’onglet Signatures numériques, vérifiez que votre certificat de signature existe et présente un algorithme sha256, comme illustré figure 1.

    Liste des signatures numériques dans le fichier Propriétés.

    Figure 1. Vérifiez que le certificat de signature existe.

Déployer le fichier catalogue sur vos points de terminaison managés

Les fichiers catalogue dans Windows sont stockés sous %windir%\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}.

À des fins de test, vous pouvez copier manuellement les fichiers catalogue signés dans ce dossier. Pour le déploiement à grande échelle de fichiers catalogue signés, utilisez les préférences de fichier de stratégie de groupe ou un produit de gestion des systèmes d’entreprise tel que Microsoft Configuration Manager.

Déployer des fichiers catalogue avec une stratégie de groupe

Pour simplifier la gestion des fichiers catalogue, vous pouvez utiliser les préférences de stratégie de groupe pour déployer des fichiers catalogue sur les ordinateurs appropriés de votre organization.

Le processus suivant vous guide tout au long du déploiement d’un fichier catalogue signé appelé LOBApp-Contoso.cat vers une unité d’organisation de test appelée PC compatible WDAC avec un objet de stratégie de groupe appelé Contoso Catalog File GPO Test.

  1. À partir d’un contrôleur de domaine ou d’un ordinateur client sur lequel les Outils d’administration de serveur distant sont installés, ouvrez la console de gestion stratégie de groupe en exécutant GPMC.MSC ou en recherchant stratégie de groupe Management.

  2. Créez un objet de stratégie de groupe : cliquez avec le bouton droit sur une unité d’organisation, par exemple l’unité d’organisation des PC compatibles avec WDAC, puis sélectionnez Créer un objet de stratégie de groupe dans ce domaine et liez-le ici, comme illustré dans la figure 2.

    Remarque

    Vous pouvez utiliser n’importe quel nom d’unité d’organisation. En outre, le filtrage des groupes de sécurité est une option lorsque vous envisagez différentes façons de combiner des stratégies WDAC.

    stratégie de groupe Management, créez un objet de stratégie de groupe.

    Figure 2. Créez un objet de stratégie de groupe.

  3. Donnez un nom au nouvel objet de stratégie de groupe, par exemple Test d’objet de stratégie de groupe du fichier de catalogue Contoso ou n’importe quel nom de votre choix.

  4. Ouvrez le Rédacteur gestion stratégie de groupe : cliquez avec le bouton droit sur le nouvel objet de stratégie de groupe, puis sélectionnez Modifier.

  5. Dans l’objet de stratégie de groupe sélectionné, accédez à Configuration ordinateur\Préférences\Paramètres Windows\Fichiers. Cliquez avec le bouton droit sur Fichiers, pointez sur Nouveau, puis sélectionnez Fichier, comme illustré dans la Figure 3.

    stratégie de groupe Management Rédacteur, Nouveau fichier.

    Figure 3. Créez un fichier.

  6. Configurez le partage de fichiers catalogue.

    Pour utiliser ce paramètre afin d’assurer le déploiement cohérent de votre fichier catalogue (LOBApp-Contoso.cat dans cet exemple), vous devez placer le fichier source dans un partage accessible au compte de chaque ordinateur déployé. Cet exemple utilise un partage sur un ordinateur exécutant Windows 10 appelé \\Contoso-Win10\Share. Le fichier catalogue déployé est copié sur ce partage.

  7. Pour maintenir la cohérence des versions, dans la boîte de dialogue Propriétés du nouveau fichier , comme illustré dans la figure 4, sélectionnez Remplacer dans la liste Action afin que la version la plus récente soit toujours utilisée.

    Propriétés du fichier, option Remplacer.

    Figure 4. Définissez les propriétés du nouveau fichier.

  8. Dans la zone Fichier(s) source(s), tapez le nom de votre partage accessible, avec le nom du fichier catalogue inclus. Exemple : \\Contoso-Win10\share\LOBApp-Contoso.cat.

  9. Dans la zone Fichier de destination, tapez un chemin d’accès et un nom de fichier, par exemple :

    C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\LOBApp-Contoso.cat

    Pour le nom du fichier catalogue, utilisez le nom du catalogue que vous déployez.

  10. Dans l’onglet Commun de la boîte de dialogue Nouvelles propriétés de Fichier, sélectionnez l’option Supprimer cet élément lorsqu’il n’est plus appliqué. L’activation de cette option garantit que le fichier catalogue est supprimé de chaque système, au cas où vous deviez arrêter d’approuver cette application.

  11. Sélectionnez OK pour terminer la création du fichier.

  12. Fermez le Rédacteur stratégie de groupe Management, puis mettez à jour la stratégie sur l’ordinateur de test exécutant Windows 10 ou Windows 11, en exécutant GPUpdate.exe. Une fois la stratégie mise à jour, vérifiez que le fichier catalogue existe dans C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} sur l’ordinateur exécutant Windows 10.

Déployer des fichiers catalogue avec Microsoft Configuration Manager

Comme alternative à la stratégie de groupe, vous pouvez utiliser Configuration Manager pour déployer des fichiers catalogue sur les ordinateurs gérés de votre environnement. Cette approche peut simplifier le déploiement et la gestion de plusieurs fichiers catalogue et fournir des rapports sur le catalogue déployé par chaque client ou collection. En plus du déploiement de ces fichiers, Configuration Manager peuvent également être utilisés pour inventorier les fichiers catalogue actuellement déployés à des fins de création de rapports et de conformité.

Pour créer un package de déploiement pour les fichiers catalogue, procédez comme suit :

Remarque

L’exemple suivant utilise un partage réseau nommé \\Shares\CatalogShare comme source pour les fichiers catalogue. Si vous avez des fichiers catalogue spécifiques à une collection ou si vous préférez les déployer individuellement, utilisez la structure de dossiers qui convient le mieux à votre organization.

  1. Ouvrez la console du gestionnaire de configuration et sélectionnez l’espace de travail Bibliothèque de logiciels.

  2. Accédez à Vue d’ensemble\Gestion des applications, cliquez avec le bouton droit sur Packages, puis sélectionnez Créer un package.

  3. Donnez un nom au package, définissez votre organisation en tant que fabricant, puis sélectionnez un numéro de version approprié.

    Assistant Création d’un package et d’un programme.

    Figure 5. Spécifiez des informations sur le nouveau package.

  4. Sélectionnez Suivant, puis programme standard comme type de programme.

  5. Dans la page Programme standard , sélectionnez un nom, puis définissez la propriété Ligne de commande sur la commande suivante :

    XCopy \\Shares\CatalogShare C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} /H /K /E /Y

  6. Dans la page Programme standard , sélectionnez les options suivantes, comme illustré dans la figure 6 :

    • Dans le champ Nom, tapez un nom, par exemple Programme de copie de fichier catalogue Contoso.
    • Dans Ligne de commande, accédez à l’emplacement du programme.
    • Dans Dossier de démarrage, tapez C:\Windows\System32.
    • Dans la liste Exécuter, sélectionnez Masqué.
    • Dans la liste Le programme peut s’exécuter, choisissez Qu’un utilisateur ait ouvert une session ou non.
    • Dans la liste Mode lecteur, sélectionnez S’exécute avec le nom UNC.

    Page Programme standard de l’Assistant.

    Figure 6. Spécifiez des informations sur le programme standard.

  7. Acceptez les valeurs par défaut pour le reste de l’assistant, puis fermez ce dernier.

Une fois le package de déploiement créé, déployez-le dans une collection, afin que les clients puissent recevoir les fichiers catalogues. Dans cet exemple, vous déployez le package que vous avez créé dans une collection de tests :

  1. Dans l’espace de travail Bibliothèque de logiciels, accédez à Vue d’ensemble\Gestion des applications\Packages, cliquez avec le bouton droit sur le package du fichier catalogue, puis sélectionnez Déployer.

  2. Dans la page Général , sélectionnez la collection de tests, puis sélectionnez Suivant.

  3. Dans la page Contenu , sélectionnez Ajouter pour sélectionner le point de distribution pour distribuer le contenu à la collection sélectionnée, puis sélectionnez Suivant.

  4. Sur la page Paramètres de déploiement, sélectionnez Requis dans la zone Objectif.

  5. Dans la page Planification , sélectionnez Nouveau.

  6. Dans la boîte de dialogue Planification des affectations , sélectionnez Attribuer immédiatement après cet événement, définissez la valeur sur Dès que possible, puis sélectionnez OK.

  7. Dans la page Planification , sélectionnez Suivant.

  8. Dans la page Expérience utilisateur comme illustré dans la figure 7, définissez les options suivantes, puis sélectionnez Suivant :

    • Cochez la case Installation de logiciel.

    • Cochez la case Valider les changements à l’échéance ou pendant une fenêtre de maintenance (redémarrage requis).

    Assistant Déploiement logiciel, page Expérience utilisateur.

    Figure 7. Spécifiez l’expérience utilisateur.

  9. Dans la page Points de distribution , dans la zone Options de déploiement , sélectionnez Exécuter le programme à partir du point de distribution, puis sélectionnez Suivant.

  10. Dans la page Résumé , passez en revue les sélections, puis sélectionnez Suivant.

  11. Fermez l’Assistant.

Répertorier les fichiers catalogue avec Microsoft Configuration Manager

Lorsque des fichiers catalogue ont été déployés sur les ordinateurs de votre environnement, que ce soit à l’aide d’une stratégie de groupe ou d’une Configuration Manager, vous pouvez les inventorier avec la fonctionnalité d’inventaire logiciel de Configuration Manager.

Vous pouvez configurer l’inventaire logiciel pour rechercher des fichiers catalogue sur vos systèmes managés en créant et en déployant une stratégie de paramètres client.

Remarque

Une convention d’affectation de noms standard pour vos fichiers catalogue simplifie considérablement le processus d’inventaire logiciel des fichiers catalogue. Dans cet exemple, l’élément -Contoso a été ajouté à tous les noms de fichiers catalogues.

  1. Ouvrez la console Gestionnaire de configurations et sélectionnez l’espace de travail Administration.

  2. Accédez à Vue d’ensemble\Paramètres du client, cliquez avec le bouton droit sur Paramètres du client, puis sélectionnez Créer des paramètres d’appareil client personnalisés.

  3. Nommez la nouvelle stratégie, puis cochez la case Inventaire logiciel sous Sélectionnez puis configurez les paramètres personnalisés pour les périphériques client (voir figure 8).

    Créez des paramètres d’appareil client personnalisés.

    Figure 8. Sélectionnez paramètres personnalisés.

  4. Dans le volet de navigation, sélectionnez Inventaire logiciel, puis Définir les types, comme illustré dans la figure 9.

    Paramètres de l’inventaire logiciel pour les appareils.

    Figure 9. Définissez l’inventaire logiciel.

  5. Dans la boîte de dialogue Configurer le paramètre client , sélectionnez le bouton Démarrer pour ouvrir la boîte de dialogue Inventaires des propriétés du fichier .

  6. Dans la zone Nom , tapez un nom tel que *Contoso.cat, puis sélectionnez Définir.

    Remarque

    Lorsque vous tapez le nom, suivez votre convention de nommage pour les fichiers catalogue.

  7. Dans la boîte de dialogue Propriétés du chemin d’accès, sélectionnez Variable ou nom du chemin d’accès, puis tapez C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} dans la zone, comme illustré dans la figure 10.

    Propriétés du chemin d’accès, spécifiant un chemin d’accès.

    Figure 10. Définissez les propriétés du chemin d’accès.

  8. Sélectionnez OK.

  9. Maintenant que vous avez créé la stratégie de paramètres client, cliquez avec le bouton droit sur la nouvelle stratégie, sélectionnez Déployer, puis choisissez le regroupement sur lequel vous souhaitez inventorier les fichiers catalogue.

Au moment du prochain cycle d’inventaire logiciel, lorsque les clients ciblés recevront la nouvelle stratégie de paramètres client, vous serez en mesure d’afficher les fichiers inventoriés dans les rapports Configuration Manager intégrés ou les Explorer de ressources. Pour afficher les fichiers inventoriés sur un client au sein de l’Explorateur de ressources, procédez comme suit :

  1. Ouvrez la console du gestionnaire de configuration et sélectionnez l’espace de travail Ressources et Conformité.

  2. Accédez à Vue d’ensemble\Appareils, puis recherchez l’appareil sur lequel vous souhaitez afficher les fichiers inventoriés.

  3. Cliquez avec le bouton droit sur l’ordinateur, pointez sur Démarrer, puis sélectionnez Ressource Explorer.

  4. Dans Resource Explorer, accédez à Software\File Details pour afficher les fichiers catalogue inventoriés.

Remarque

Si rien n’est affiché dans cet affichage, accédez à Software\Last Software Scan in Resource Explorer pour vérifier que le client a récemment effectué une analyse de l’inventaire logiciel.

Autoriser les applications signées par votre certificat de signature de catalogue dans votre stratégie WDAC

Maintenant que vous avez votre fichier catalogue signé, vous pouvez ajouter une règle de signataire à votre stratégie qui autorise tout ce qui est signé avec ce certificat. Si vous n’avez pas encore créé de stratégie WDAC, consultez le guide de conception Windows Defender Contrôle d’application.

Sur un ordinateur sur lequel le fichier catalogue signé a été déployé, vous pouvez utiliser New-CiPolicyRule pour créer une règle de signataire à partir de n’importe quel fichier inclus dans ce catalogue. Utilisez ensuite Merge-CiPolicy pour ajouter la règle à votre xml de stratégie. Veillez à remplacer les valeurs de chemin d’accès dans l’exemple suivant :

$Rules = New-CIPolicyRule -DriverFilePath <path to the file covered by the signed catalog> -Level Publisher
Merge-CIPolicy -OutputFilePath <path to your policy XML> -PolicyPaths <path to your policy XML> -Rules $Rules

Vous pouvez également utiliser Add-SignerRule pour ajouter une règle de signataire à votre stratégie à partir du fichier de certificat (.cer). Vous pouvez facilement enregistrer le fichier .cer à partir de votre fichier catalogue signé.

  1. Cliquez avec le bouton droit sur le fichier catalogue, puis sélectionnez Propriétés.
  2. Sous l’onglet Signatures numériques , sélectionnez la signature dans la liste, puis sélectionnez Détails.
  3. Sélectionnez Afficher le certificat pour afficher les propriétés du certificat feuille.
  4. Sélectionnez l’onglet Détails , puis Copier dans un fichier. Cette action exécute l’Assistant Exportation de certificat.
  5. Terminez l’Assistant en utilisant l’option par défaut pour Exporter le format de fichier et en spécifiant un emplacement et un nom de fichier pour enregistrer le fichier .cer.

Remarque

Ces étapes sélectionnent le niveau le plus bas de la chaîne de certificats, également appelé certificat « feuille ». Au lieu de cela, vous pouvez choisir d’utiliser le certificat d’émetteur intermédiaire ou racine du certificat. Pour utiliser un autre certificat dans la chaîne, basculez vers l’onglet Chemin de certification après l’étape 3 ci-dessus, sélectionnez le niveau de certificat que vous souhaitez utiliser, puis sélectionnez Afficher le certificat. Effectuez ensuite les étapes restantes.

L’exemple suivant utilise le fichier .cer pour ajouter une règle de signataire aux scénarios de signature en mode utilisateur et en mode noyau. Veillez à remplacer les valeurs de chemin d’accès dans l’exemple suivant :

Add-SignerRule -FilePath <path to your policy XML> -CertificatePath <path to your certificate .cer file> -User -Kernel

Problèmes connus liés à l’utilisation de l’inspecteur de package

Voici quelques-uns des problèmes connus liés à l’utilisation de Package Inspector pour générer un fichier catalogue :

  • La taille du journal USN est trop petite pour effectuer le suivi de tous les fichiers créés par le programme d’installation

    • Pour diagnostiquer si la taille du journal USN est le problème, après l’exécution via l’inspecteur de package :
      • Obtenez la valeur de la clé de registre à HKEY_CURRENT_USER/PackageInspectorRegistryKey/c : (cet USN était le plus récent lorsque vous avez exécuté packageInspector start). Utilisez ensuite fsutil.exe pour lire cet emplacement de départ. Remplacez « RegKeyValue » dans la commande suivante par la valeur de la clé reg :
        fsutil usn readjournal C: startusn=RegKeyValue > inspectedusn.txt
      • La commande ci-dessus doit retourner une erreur si les anciens noms usn n’existent plus en raison d’un dépassement de capacité
      • Vous pouvez développer la taille de Journal USN à l’aide de : fsutil usn createjournal avec un nouveau delta de taille et d’allocation. Fsutil usn queryjournal affiche la taille actuelle et le delta d’allocation, donc l’utilisation d’un multiple de peut être utile.

  • CodeIntegrity : le journal des événements opérationnels est trop petit pour suivre tous les fichiers créés par le programme d’installation

    • Pour diagnostiquer si la taille d’Eventlog est le problème, après l’exécution via l’inspecteur de package :
      • Ouvrez observateur d'événements et développez Application et services//Microsoft//Windows//CodeIntegrity//Operational. Recherchez un événement de bloc d’audit 3076 pour le lancement initial du programme d’installation.
      • Pour augmenter la taille du journal des événements, dans observateur d'événements cliquez avec le bouton droit sur le journal des opérations, sélectionnez Propriétés, puis définissez de nouvelles valeurs.

  • Programmes d’installation ou fichiers d’application qui changent de hachage chaque fois que l’application est installée ou exécutée

    • Certaines applications génèrent des fichiers au moment de l’exécution dont la valeur de hachage est différente à chaque fois. Vous pouvez diagnostiquer ce problème en examinant les valeurs de hachage dans les événements de bloc d’audit 3076 (ou événements d’application 3077) générés. Si chaque fois que vous essayez d’exécuter le fichier, vous observez un nouvel événement de bloc avec un hachage différent, le package ne fonctionne pas avec l’Inspecteur de package.

  • Fichiers avec un objet blob de signature non valide ou des fichiers « non stockables »

    • Ce problème se produit lorsqu’un fichier signé a été modifié d’une manière qui invalide l’en-tête PE du fichier. Un fichier modifié de cette façon ne peut pas être haché conformément à la spécification Authenticode.
    • Bien que ces fichiers « non disponibles » ne puissent pas être inclus dans le fichier catalogue créé par PackageInspector, vous devez être en mesure de les autoriser en ajoutant une règle ALLOW de hachage à votre stratégie qui utilise le hachage de fichier plat du fichier.
    • Ce problème affecte certaines versions des packages InstallShield qui utilisent des fichiers DLL signés dans des actions personnalisées. InstallShield ajoute des marqueurs de suivi au fichier (en le modifiant après la signature), ce qui laisse le fichier dans cet état « non disponible ».