Présentation des événements de contrôle d’application
Vue d’ensemble des événements WDAC
WDAC journalise les événements lorsqu’une stratégie est chargée, lorsqu’un fichier est bloqué ou lorsqu’un fichier est bloqué s’il est en mode audit. Ces événements de bloc incluent des informations qui identifient la stratégie et fournissent plus de détails sur le bloc. WDAC ne génère pas d’événements lorsqu’un fichier binaire est autorisé. Toutefois, vous pouvez activer l’autorisation des événements d’audit pour les fichiers autorisés par un programme d’installation managé ou l’Intelligent Security Graph (ISG) comme décrit plus loin dans cet article.
Journaux des événements WDAC principaux
Les événements WDAC sont générés sous deux emplacements dans le observateur d'événements Windows :
- Journaux des applications et des services - Microsoft - Windows - CodeIntegrity - Opérationnel inclut des événements relatifs à l’activation de stratégie de contrôle d’application et au contrôle des exécutables, dll et pilotes.
- Journaux des applications et des services - Microsoft - Windows - AppLocker - MSI et Script incluent des événements sur le contrôle des programmes d’installation MSI, des scripts et des objets COM.
La plupart des échecs d’application et de script qui se produisent lorsque WDAC est actif peuvent être diagnostiqués à l’aide de ces deux journaux d’événements. Cet article décrit plus en détail les événements qui existent dans ces journaux. Pour comprendre la signification des différents éléments de données, ou balises, trouvés dans les détails de ces événements, consultez Présentation des étiquettes d’événements Application Control.
Remarque
Les journaux des applications et des services - Microsoft - Windows - AppLocker - MSI et Script ne sont pas inclus dans Windows Server Core Edition.
Événements de blocage WDAC pour les exécutables, dll et pilotes
Ces événements se trouvent dans le journal des événements CodeIntegrity - Operational .
| ID d’événement | Explication |
|---|---|
| 3004 | Cet événement n’est pas courant et peut se produire avec ou sans stratégie De contrôle d’application. Cela indique généralement qu’un pilote de noyau a tenté de charger avec une signature non valide. Par exemple, le fichier peut ne pas être signé WHQL sur un système où WHQL est requis. Cet événement est également visible pour le code en mode noyau ou utilisateur que le développeur a choisi /INTEGRITYCHECK , mais qui n’est pas signé correctement. |
| 3033 | Cet événement peut se produire avec ou sans stratégie De contrôle d’application et doit se produire en même temps qu’un événement 3077 s’il est provoqué par la stratégie WDAC. Cela signifie souvent que la signature du fichier est révoquée ou qu’une signature avec la référence EKU de signature à durée de vie a expiré. La présence de la référence EKU de signature de durée de vie est le seul cas où WDAC bloque les fichiers en raison d’une signature expirée. Essayez d’utiliser l’option 20 Enabled:Revoked Expired As Unsigned dans votre stratégie avec une règle (par exemple, le hachage) qui ne repose pas sur le certificat révoqué ou expiré.Cet événement se produit également si le code compilé avec Code Integrity Guard (CIG) tente de charger un autre code qui ne répond pas aux exigences cig. |
| 3034 | Cet événement n’est pas courant. Il s’agit du mode d’audit équivalent à l’événement 3033. |
| 3076 | Cet événement est l’événement de bloc main Contrôle d’application pour les stratégies de mode audit. Il indique que le fichier aurait été bloqué si la stratégie avait été appliquée. |
| 3077 | Cet événement est le main événement de bloc Application Control pour les stratégies appliquées. Cela indique que le fichier n’a pas réussi votre stratégie et a été bloqué. |
| 3089 | Cet événement contient des informations de signature pour les fichiers qui ont été bloqués ou audités par Application Control. L’un de ces événements est créé pour chaque signature d’un fichier. Chaque événement affiche le nombre total de signatures trouvées et une valeur d’index pour identifier la signature actuelle. Les fichiers non signés génèrent un seul de ces événements avec TotalSignatureCount de 0. Ces événements sont corrélés avec les événements 3004, 3033, 3034, 3076 et 3077. Vous pouvez faire correspondre les événements à l’aide du Correlation ActivityID qui se trouve dans la partie Système de l’événement. |
Événements de bloc WDAC pour les applications empaquetées, les programmes d’installation MSI, les scripts et les objets COM
Ces événements se trouvent dans le journal des événements AppLocker - MSI et Script .
| ID d’événement | Explication |
|---|---|
| 8028 | Cet événement indique qu’un hôte de script, tel que PowerShell, a interrogé Application Control sur un fichier que l’hôte de script était sur le point d’exécuter. Étant donné que la stratégie était en mode audit, le script ou le fichier MSI aurait dû s’exécuter, mais n’aurait pas passé la stratégie WDAC si elle avait été appliquée. Certains hôtes de script peuvent avoir des informations supplémentaires dans leurs journaux. Remarque : la plupart des hôtes de script tiers ne s’intègrent pas à Application Control. Tenez compte des risques liés aux scripts non vérifiés lors du choix des hôtes de script que vous autorisez à exécuter. |
| 8029 | Cet événement est l’équivalent du mode d’application de l’événement 8028. Remarque : Bien que cet événement indique qu’un script a été bloqué, les hôtes de script contrôlent le comportement d’application de script réel. L’hôte de script peut autoriser le fichier à s’exécuter avec des restrictions et ne pas bloquer le fichier. Par exemple, PowerShell exécute un script non autorisé par votre stratégie WDAC en mode de langage contraint. |
| 8036 | L’objet COM a été bloqué. Pour en savoir plus sur l’autorisation d’objet COM, consultez Autoriser l’inscription d’objets COM dans une stratégie de contrôle d’application Windows Defender. |
| 8037 | Cet événement indique qu’un hôte de script a vérifié s’il faut autoriser l’exécution d’un script et que le fichier a passé la stratégie WDAC. |
| 8038 | Événement d’informations de signature corrélé à un événement 8028 ou 8029. Un événement 8038 est généré pour chaque signature d’un fichier de script. Contient le nombre total de signatures sur un fichier de script et un index pour déterminer la signature qu’il contient. Les fichiers de script non signés génèrent un seul événement 8038 avec TotalSignatureCount 0. Ces événements sont corrélés aux événements 8028 et 8029 et peuvent être mis en correspondance à l’aide du Correlation ActivityID trouvé dans la partie Système de l’événement. |
| 8039 | Cet événement indique qu’une application empaquetée (MSIX/AppX) a été autorisée à s’installer ou à s’exécuter, car la stratégie WDAC est en mode audit. Mais elle aurait été bloquée si la stratégie avait été appliquée. |
| 8040 | Cet événement indique qu’une application empaquetée n’a pas pu s’installer ou s’exécuter en raison de la stratégie WDAC. |
Événements d’activation de stratégie WDAC
Ces événements se trouvent dans le journal des événements CodeIntegrity - Operational .
| ID d’événement | Explication |
|---|---|
| 3095 | La stratégie De contrôle d’application ne peut pas être actualisée et doit être redémarré à la place. |
| 3096 | La stratégie De contrôle d’application n’a pas été actualisée, car elle est déjà à jour. Les détails de cet événement incluent des informations utiles sur la stratégie, telles que ses options de stratégie. |
| 3097 | La stratégie De contrôle d’application ne peut pas être actualisée. |
| 3099 | Indique qu’une stratégie a été chargée. Les détails de cet événement incluent des informations utiles sur la stratégie Contrôle d’application, telles que ses options de stratégie. |
| 3100 | La stratégie de contrôle d’application a été actualisée, mais elle n’a pas été activée. Réessayer. |
| 3101 | L’actualisation de la stratégie De contrôle d’application a démarré pour N stratégies. |
| 3102 | L’actualisation de la stratégie De contrôle d’application s’est terminée pour N stratégies. |
| 3103 | Le système ignore l’actualisation de la stratégie De contrôle d’application. Par exemple, une stratégie Windows de boîte de réception qui ne remplit pas les conditions d’activation. |
| 3105 | Le système tente d’actualiser la stratégie De contrôle d’application avec l’ID spécifié. |
Événements de diagnostic pour Intelligent Security Graph (ISG) et Managed Installer (MI)
Remarque
Lorsque Managed Installer est activé, les clients qui utilisent LogAnalytics doivent savoir que managed Installer peut déclencher de nombreux événements 3091. Les clients peuvent avoir besoin de filtrer ces événements pour éviter des coûts élevés de LogAnalytics.
Les événements suivants fournissent des informations de diagnostic utiles lorsqu’une stratégie WDAC inclut l’option ISG ou MI. Ces événements peuvent vous aider à déboguer la raison pour laquelle quelque chose a été autorisé/refusé en fonction du programme d’installation managé ou de l’ISG. Les événements 3090, 3091 et 3092 n’indiquent pas nécessairement un problème, mais doivent être examinés en contexte avec d’autres événements tels que 3076 ou 3077.
Sauf indication contraire, ces événements se trouvent dans le journal des événements CodeIntegrity - Operational ou dans le journal des événements CodeIntegrity - Verbose en fonction de votre version de Windows.
| ID d’événement | Explication |
|---|---|
| 3090 | Optionnel Cet événement indique qu’un fichier a été autorisé à s’exécuter en fonction de l’ISG ou du programme d’installation managé. |
| 3091 | Cet événement indique qu’un fichier n’avait pas d’autorisation ISG ou programme d’installation managé et que la stratégie De contrôle d’application est en mode audit. |
| 3092 | Cet événement est l’équivalent du mode d’application 3091. |
| 8002 | Cet événement se trouve dans le journal des événements AppLocker - EXE et DLL . Lorsqu’un processus se lance qui correspond à une règle de programme d’installation managée, cet événement est déclenché avec PolicyName = MANAGEDINSTALLER trouvé dans les détails de l’événement. Les événements avec PolicyName = EXE ou DLL ne sont pas liés à WDAC. |
Les événements 3090, 3091 et 3092 sont signalés par stratégie active sur le système. Vous pouvez donc voir plusieurs événements pour le même fichier.
Détails des événements de diagnostic ISG et MI
Les informations suivantes se trouvent dans les détails des événements 3090, 3091 et 3092.
| Nom | Explication |
|---|---|
| ManagedInstallerEnabled | Indique si la stratégie spécifiée active l’approbation du programme d’installation managée |
| PassesManagedInstaller | Indique si le fichier provient d’un mi |
| SmartlockerEnabled | Indique si la stratégie spécifiée active l’approbation ISG |
| PassesSmartlocker | Indique si le fichier avait une réputation positive selon l’ISG |
| AuditEnabled | True si la stratégie de contrôle d’application est en mode audit ; sinon, elle est en mode d’application |
| PolicyName | Nom de la stratégie de contrôle d’application à laquelle l’événement s’applique |
Activation des événements de diagnostic ISG et MI
Pour activer les événements d’autorisation 3090, créez une clé de registre TestFlags avec la valeur 0x300 comme indiqué dans la commande PowerShell suivante. Redémarrez ensuite votre ordinateur.
reg add hklm\system\currentcontrolset\control\ci -v TestFlags -t REG_DWORD -d 0x300
Les événements 3091 et 3092 sont inactifs sur certaines versions de Windows et sont activés par la commande précédente.
Annexe
Liste d’autres ID d’événement pertinents et leur description correspondante.
| ID d’événement | Description |
|---|---|
| 3001 | Un pilote non signé a été tenté de charger sur le système. |
| 3002 | L’intégrité du code n’a pas pu vérifier l’image de démarrage, car le hachage de page est introuvable. |
| 3004 | L’intégrité du code n’a pas pu vérifier le fichier, car le hachage de page est introuvable. |
| 3010 | Le catalogue contenant la signature du fichier en cours de validation n’est pas valide. |
| 3011 | L’intégrité du code a terminé le chargement du catalogue de signatures. |
| 3012 | L’intégrité du code a commencé à charger le catalogue de signatures. |
| 3023 | Le fichier de pilote en cours de validation ne répondait pas aux conditions requises pour passer la stratégie de contrôle d’application. |
| 3024 | Le contrôle d’application Windows n’a pas pu actualiser le fichier de catalogue de démarrage. |
| 3026 | Microsoft ou l’autorité émettrice du certificat ont révoqué le certificat qui a signé le catalogue. |
| 3032 | Le fichier en cours de validation est révoqué ou le fichier a une signature qui est révoquée. |
| 3033 | Le fichier en cours de validation ne répondait pas aux conditions requises pour passer la stratégie de contrôle d’application. |
| 3034 | Le fichier en cours de validation ne remplit pas les conditions requises pour passer la stratégie de contrôle d’application si elle a été appliquée. Le fichier a été autorisé, car la stratégie est en mode audit. |
| 3036 | Microsoft ou l’autorité émettrice du certificat a révoqué le certificat qui a signé le fichier en cours de validation. |
| 3064 | Si la stratégie de contrôle d’application était appliquée, une DLL en mode utilisateur en cours de validation ne répondrait pas aux conditions requises pour passer la stratégie de contrôle d’application. La DLL a été autorisée, car la stratégie est en mode audit. |
| 3065 | Si la stratégie de contrôle d’application était appliquée, une DLL en mode utilisateur en cours de validation ne répondrait pas aux conditions requises pour passer la stratégie de contrôle d’application. |
| 3074 | Échec du hachage de page pendant que l’intégrité du code protégé par l’hyperviseur a été activée. |
| 3075 | Cet événement mesure les performances de la stratégie De contrôle d’application case activée lors de la validation de fichier. |
| 3076 | Cet événement est l’événement de bloc main Contrôle d’application pour les stratégies de mode audit. Il indique que le fichier aurait été bloqué si la stratégie avait été appliquée. |
| 3077 | Cet événement est le main événement de bloc Application Control pour les stratégies appliquées. Cela indique que le fichier n’a pas réussi votre stratégie et a été bloqué. |
| 3079 | Le fichier en cours de validation ne répondait pas aux conditions requises pour passer la stratégie de contrôle d’application. |
| 3080 | Si la stratégie De contrôle d’application était en mode appliqué, le fichier en cours de validation n’aurait pas rempli les conditions requises pour passer la stratégie de contrôle d’application. |
| 3081 | Le fichier en cours de validation ne répondait pas aux conditions requises pour passer la stratégie de contrôle d’application. |
| 3082 | Si la stratégie de contrôle d’application a été appliquée, la stratégie aurait bloqué ce pilote non WHQL. |
| 3084 | L’intégrité du code applique les exigences de signature du pilote WHQL sur cette session de démarrage. |
| 3085 | L’intégrité du code n’applique pas les exigences de signature du pilote WHQL sur cette session de démarrage. |
| 3086 | Le fichier en cours de validation ne répond pas aux exigences de signature d’un processus en mode utilisateur isolé (IUM). |
| 3089 | Cet événement contient des informations de signature pour les fichiers qui ont été bloqués ou audités par Application Control. Un événement 3089 est créé pour chaque signature d’un fichier. |
| 3090 | Optionnel Cet événement indique qu’un fichier a été autorisé à s’exécuter en fonction de l’ISG ou du programme d’installation managé. |
| 3091 | Cet événement indique qu’un fichier n’avait pas d’autorisation ISG ou programme d’installation managé et que la stratégie De contrôle d’application est en mode audit. |
| 3092 | Cet événement est l’équivalent du mode d’application 3091. |
| 3095 | La stratégie De contrôle d’application ne peut pas être actualisée et doit être redémarré à la place. |
| 3096 | La stratégie De contrôle d’application n’a pas été actualisée, car elle est déjà à jour. |
| 3097 | La stratégie De contrôle d’application ne peut pas être actualisée. |
| 3099 | Indique qu’une stratégie a été chargée. Cet événement inclut également des informations sur les options définies par la stratégie De contrôle d’application. |
| 3100 | La stratégie de contrôle d’application a été actualisée, mais elle n’a pas été activée. Réessayer. |
| 3101 | Le système a commencé à actualiser la stratégie De contrôle d’application. |
| 3102 | Le système a terminé l’actualisation de la stratégie De contrôle d’application. |
| 3103 | Le système ignore l’actualisation de la stratégie De contrôle d’application. |
| 3104 | Le fichier en cours de validation ne répond pas aux exigences de signature d’un processus PPL (protected process light). |
| 3105 | Le système tente d’actualiser la stratégie De contrôle d’application. |
| 3108 | L’événement de modification du mode Windows a réussi. |
| 3110 | Échec de l’événement de modification du mode Windows. |
| 3111 | Le fichier en cours de validation ne répondait pas à la stratégie d’intégrité du code protégé par l’hyperviseur (HVCI). |
| 3112 | Windows a révoqué le certificat qui a signé le fichier en cours de validation. |
| 3114 | Dynamic Code Security a choisi l’application ou la DLL .NET dans la validation de la stratégie De contrôle d’application. Le fichier en cours de validation n’a pas réussi votre stratégie et a été bloqué. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour