Programme d’installation géré et guide de référence technique et de dépannage ISG

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application.

Activation des événements de journalisation du programme d’installation managé et d’Intelligent Security Graph (ISG)

Pour plus d’informations sur l’activation des événements de diagnostic du programme d’installation managé facultatifs, consultez Présentation des événements de contrôle d’application.

Utilisation de fsutil pour interroger des attributs étendus pour Managed Installer (MI)

Les clients qui utilisent Windows Defender Contrôle d’application (WDAC) avec Managed Installer (MI) activé peuvent utiliser fsutil.exe pour déterminer si un fichier a été créé par un processus d’installation managé. Cette vérification est effectuée en interrogeant les attributs étendus (EA) sur un fichier à l’aide de fsutil.exe et en recherchant le NOYAU. SMARTLOCKER. ORIGINCLAIM EA. Ensuite, vous pouvez utiliser les données de la première ligne de sortie pour déterminer si le fichier a été créé par un programme d’installation géré. Par exemple, examinons la sortie fsutil.exe d’un fichier appelé application.exe :

Exemple :

fsutil.exe file queryEA C:\Users\Temp\Downloads\application.exe

Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:

Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e

Dans la sortie ci-dessus, recherchez la première ligne de données intitulée « 0000 : », qui est ensuite suivie de 16 jeux de deux caractères. Tous les quatre ensembles forment un groupe appelé ULONG. Le jeu de deux caractères à l’avant du premier ULONG sera toujours « 01 », comme illustré ici :

0000 : 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00

S’il y a « 00 » dans la cinquième position de la sortie (début du deuxième ULONG), cela indique que l’EA est lié au programme d’installation géré :

0000 : 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00

Enfin, le jeu de deux caractères à la neuvième position de la sortie (début du troisième ULONG) indique si le fichier a été créé par un processus exécuté en tant que programme d’installation managé. La valeur « 00 » signifie que le fichier a été écrit directement par un processus de programme d’installation managé et s’exécute si votre stratégie WDAC approuve les programmes d’installation managés.

0000 : 01 00 00 00 00 00 00 0000 00 00 00 01 00 00 00

Si au lieu de cela, la valeur de départ du troisième ULONG est « 02 », cela indique un « enfant d’enfant ». « Enfant de l’enfant » est défini sur tous les fichiers créés par un élément qui a été installé par un programme d’installation géré. Toutefois, le fichier a été créé une fois que le programme d’installation managé a terminé son travail. Par conséquent, ce fichier n’est pas autorisé à s’exécuter, sauf s’il existe une autre règle dans votre stratégie pour l’autoriser.

Dans de rares cas, vous pouvez voir d’autres valeurs dans cette position, mais cela s’exécutera également si votre stratégie approuve le programme d’installation géré.

Utilisation de fsutil pour interroger des attributs étendus pour Intelligent Security Graph (ISG)

Lorsqu’un programme d’installation s’exécute qui a une bonne réputation selon l’ISG, les fichiers que le programme d’installation écrit sur le disque héritent de la réputation du programme d’installation. Ces fichiers avec l’approbation héritée ISG auront également le NOYAU. SMARTLOCKER. ORIGINCLAIM EA défini comme décrit ci-dessus pour les programmes d’installation gérés. Vous pouvez identifier que l’EA a été créé par l’ISG en recherchant la valeur « 01 » dans la cinquième position de la sortie (le début du deuxième ULONG) à partir de fsutil :

0000 : 01 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00

Autres étapes de résolution des problèmes pour le programme d’installation managé et l’ISG

Le programme d’installation managé et l’ISG dépendent d’AppLocker pour fournir certaines fonctionnalités. Procédez comme suit pour vérifier qu’AppLocker est configuré et s’exécute correctement.

1. Vérifiez que les services AppLocker sont en cours d’exécution. À partir d’une fenêtre PowerShell avec élévation de privilèges, exécutez la commande suivante et vérifiez que l’état s’affiche comme RUNNING pour appidsvc et AppLockerFltr :

   sc.exe query appidsvc
       SERVICE_NAME: appidsvc
       TYPE               : 30  WIN32
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   sc.exe query AppLockerFltr
       SERVICE_NAME: applockerfltr
       TYPE               : 1  KERNEL_DRIVER
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   

   Si ce n’est pas le cas, exécutez appidtel démarrez à partir de la fenêtre PowerShell avec élévation de privilèges et case activée à nouveau.

2. Pour le programme d’installation managé, case activée pour AppCache.dat et autres *. Fichiers AppLocker créés sous %windir%\System32\AppLocker. Il devrait y avoir un minimum de . Fichier AppLocker créé pour chacune des collections de règles EXE, DLL et MANAGEDINSTALLER. Si vous ne voyez pas ces fichiers créés, passez à l’étape suivante pour vérifier que la stratégie AppLocker a été correctement appliquée.

3. Pour la résolution des problèmes du programme d’installation managé, case activée que la stratégie effective d’AppLocker est correcte. À partir d’une fenêtre PowerShell avec élévation de privilèges :

   Get-AppLockerPolicy -Effective -XML > $env:USERPROFILE\Desktop\AppLocker.xml
   

   Ouvrez ensuite le fichier XML créé et vérifiez qu’il contient les règles attendues. En particulier, la stratégie doit inclure au moins une règle pour chaque EXE, DLL et MANAGEDINSTALLER RuleCollections. Les RuleCollections peuvent être définies sur AuditOnly ou Enabled. En outre, les RuleCollections EXE et DLL doivent inclure la configuration RuleCollectionExtensions, comme indiqué dans Autoriser automatiquement les applications déployées par un programme d’installation managé avec Windows Defender Contrôle d’application.