Présentation des balises d’événements de contrôle d’application
Windows Defender événements Application Control (WDAC) incluent de nombreux champs, qui fournissent des informations de dépannage utiles pour déterminer exactement ce que signifie un événement. Cet article décrit les valeurs et les significations de quelques balises d’événement utiles.
SignatureType
Représente le type de signature qui a vérifié l’image.
| Valeur signatureType | Explication |
|---|---|
| 0 | Unsigned ou la vérification n’a pas été tentée |
| 1 | Signature incorporée |
| 2 | Signature mise en cache ; la présence d’un EA CI signifie que le fichier a été précédemment vérifié |
| 3 | Catalogue mis en cache vérifié via la base de données de catalogues ou la recherche dans le catalogue directement |
| 4 | Catalogue non mis en cache vérifié via la base de données de catalogues ou la recherche dans le catalogue directement |
| 5 | Vérifié avec succès à l’aide d’un CONTRAT qui informe CI de ce catalogue à essayer en premier |
| 6 | Catalogue de packages AppX/MSIX vérifié |
| 7 | Le fichier a été vérifié |
Niveau de signature demandé et validé
Représente le niveau de signature auquel le code a été vérifié.
| Valeur SigningLevel | Explication |
|---|---|
| 0 | Le niveau de signature n’a pas encore été vérifié |
| 1 | Le fichier n’est pas signé ou n’a pas de signature qui passe les stratégies actives |
| 2 | Approuvé par Windows Defender stratégie De contrôle d’application |
| 3 | Code signé par le développeur |
| 4 | Authenticode signé |
| 5 | Application signée du Microsoft Store PPL (Protected Process Light) |
| 6 | Microsoft Store signé |
| 7 | Signé par un fournisseur anti-programme malveillant dont le produit utilise AMPPL |
| 8 | Microsoft signé |
| 11 | Utilisé uniquement pour la signature du compilateur NGEN .NET |
| 12 | Windows signé |
| 14 | Windows Trusted Computing Base signé |
VerificationError
Représente la raison pour laquelle la vérification a échoué ou si elle a réussi.
| Valeur verificationError | Explication |
|---|---|
| 0 | Signature vérifiée avec succès. |
| 1 | Le fichier a un hachage non valide. |
| 2 | Le fichier contient des sections accessibles en écriture partagées. |
| 3 | Le fichier n’est pas signé. |
| 4 | Signature révoquée. |
| 5 | Signature expirée. |
| 6 | Le fichier est signé à l’aide d’un algorithme de hachage faible, qui ne répond pas à la stratégie minimale. |
| 7 | Certificat racine non valide. |
| 8 | La signature n’a pas pu être validée ; erreur générique. |
| 9 | Heure de signature non approuvée. |
| 10 | Le fichier doit être signé à l’aide de hachages de page pour ce scénario. |
| 11 | Incompatibilité de hachage de page. |
| 12 | Non valide pour un PPL (Protected Process Light). |
| 13 | Non valide pour un pp (processus protégé). |
| 14 | La signature ne contient pas la référence EKU du processeur ARM requise. |
| 15 | Échec de l’case activée WHQL. |
| 16 | Le niveau de signature de stratégie par défaut n’est pas atteint. |
| 17 | Le niveau de signature de la stratégie personnalisée n’est pas atteint ; retourné lorsque la signature ne se valide pas par rapport à un ensemble de certificats défini par SBCP. |
| 18 | Niveau de signature personnalisé non atteint ; retourné si la signature ne parvient pas à correspondre CISigners dans UMCI. |
| 19 | Le fichier binaire est révoqué en fonction de son hachage de fichier. |
| 20 | L’horodatage du hachage du certificat SHA1 est manquant ou après la limite valide définie par la stratégie de chiffrement faible. |
| 21 | Échec de la réussite de Windows Defender stratégie de contrôle d’application. |
| 22 | Non signé en mode utilisateur isolé (IUM) ; indique une tentative de chargement d’un binaire Windows standard dans un trustlet de sécurité basée sur la virtualisation (VBS). |
| 23 | Hachage d’image non valide. Cette erreur peut indiquer une altération du fichier ou un problème avec la signature du fichier. Les signatures utilisant le chiffrement à courbe elliptique (ECC), comme ECDSA, retournent cette vérificationError. |
| 24 | Racine de la version d’évaluation non autorisée ; indique que vous essayez d’exécuter du code signé en version d’évaluation sur le système d’exploitation de production. |
| 25 | Violation de la stratégie anti-triche. |
| 26 | Refus explicite par la stratégie WADC. |
| 27 | La chaîne de signature semble être falsifiée/non valide. |
| 28 | Incompatibilité de la page de hachage des ressources. |
Options de l’événement d’activation de stratégie
Les valeurs d’option de règle de stratégie Contrôle d’application peuvent être dérivées du champ « Options » dans la section Détails pour les événements d’activation de stratégie réussis. Pour analyser les valeurs, commencez par convertir la valeur hexadécimale en binaire. Pour dériver et analyser ces valeurs, suivez le workflow ci-dessous.
- Observateur d'événements d’accès.
- Accédez à l’événement Intégrité du code 3099.
- Accédez au volet d’informations.
- Identifiez le code hexadécimal répertorié dans le champ « Options ».
- Convertissez le code hexadécimal en binaire.
Pour obtenir une solution simple de conversion hexadécimale en binaire, procédez comme suit :
- Ouvrez l’application Calculatrice.
- Sélectionnez l’icône de menu.
- Sélectionnez Mode programmeur .
- Sélectionnez HEX.
- Entrez votre code hexadécimal. Exemple :
80881000. - Basculez vers le clavier bascule de bits.
Cette vue fournit le code hexadécimal sous forme binaire, avec chaque adresse binaire affichée séparément. Les adresses de bits commencent à 0 dans le coin inférieur droit. Chaque adresse de bits est corrélée à une option de règle de stratégie d’événement spécifique. Si l’adresse de bits contient la valeur 1, le paramètre se trouve dans la stratégie.
Ensuite, utilisez les adresses de bits et leurs valeurs du tableau suivant pour déterminer l’état de chaque option de règle de stratégie. Par exemple, si l’adresse de bits 16 contient la valeur 1, l’option Activé : Mode d’audit (par défaut) se trouve dans la stratégie. Ce paramètre signifie que la stratégie est en mode audit.
| Adresse de bits | Option de règle de stratégie |
|---|---|
| 2 | Enabled:UMCI |
| 3 | Enabled:Boot Menu Protection |
| 4 | Enabled:Intelligent Security Graph Authorization |
| 5 | Enabled:Invalidate EAs on Reboot |
| 7 | Required:WHQL |
| 10 | Enabled:Allow Supplemental Policies |
| 11 | Disabled:Runtime FilePath Rule Protection |
| 13 | Enabled:Revoked Expired As Unsigned |
| 16 | Enabled:Audit Mode (Default) |
| 17 | Disabled:Flight Signing |
| 18 | Enabled:Inherit Default Policy |
| 19 | Enabled:Unsigned System Integrity Policy (Default) |
| 20 | Enabled:Dynamic Code Security |
| 21 | Required:EV Signers |
| 22 | Enabled:Boot Audit on Failure |
| 23 | Enabled:Advanced Boot Options Menu |
| 24 | Disabled:Script Enforcement |
| 25 | Required:Enforce Store Applications |
| 27 | Enabled:Managed Installer |
| 28 | Enabled:Update Policy No Reboot |
Autorités de certification racine Microsoft approuvées par Windows
La règle signifie approuver tout ce qui est signé par un certificat qui est lié à cette autorité de certification racine.
| ID racine | Nom de la racine |
|---|---|
| 0 | Aucun(e) |
| 1 | Inconnu |
| 2 | Self-Signed |
| 3 | Autorité racine Microsoft Authenticode(tm) |
| 4 | Microsoft Product Root 1997 |
| 5 | Microsoft Product Root 2001 |
| 6 | Microsoft Product Root 2010 |
| 7 | Microsoft Standard Root 2011 |
| 8 | Racine de vérification du code Microsoft 2006 |
| 9 | Microsoft Test Root 1999 |
| 10 | Microsoft Test Root 2010 |
| 11 | Racine de test Microsoft DMD 2005 |
| 12 | Microsoft DMDRoot 2005 |
| 13 | Microsoft DMD Preview Root 2005 |
| 14 | Microsoft Flight Root 2014 |
| 15 | Racine de la Place de marché tierce Microsoft |
| 16 | Microsoft ECC Testing Root CA 2017 |
| 17 | Microsoft ECC Development Root CA 2018 |
| 18 | Microsoft ECC Product Root CA 2018 |
| 19 | Microsoft ECC Devices Root CA 2017 |
Pour les racines connues, les hachages TBS pour les certificats sont intégrés dans le code pour Windows Defender Contrôle d’application. Par exemple, ils n’ont pas besoin d’être répertoriés en tant que hachages TBS dans le fichier de stratégie.
Valeurs d’état
Représente les valeurs utilisées pour communiquer des informations système. Elles sont de quatre types : valeurs de réussite, valeurs d’informations, valeurs d’avertissement et valeurs d’erreur. Pour plus d’informations sur l’utilisation courante, consultez NTSATUS .
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour