Documentazione tecnica per programma di installazione gestito e ISG e guida alla risoluzione dei problemi

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di controllo delle applicazioni Windows Defender sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo applicazioni.

Abilitazione del programma di installazione gestito e degli eventi di registrazione di Intelligent Security Graph (ISG)

Per informazioni sull'abilitazione degli eventi di diagnostica facoltativi del programma di installazione gestita, vedere Informazioni sugli eventi di controllo delle applicazioni.

Uso di fsutil per eseguire query sugli attributi estesi per il programma di installazione gestito (MI)

I clienti che usano Windows Defender controllo delle applicazioni (WDAC) con il programma di installazione gestito (MI) abilitato possono usare fsutil.exe per determinare se un file è stato creato da un processo di installazione gestito. Questa verifica viene eseguita eseguendo una query sugli attributi estesi (EA) in un file usando fsutil.exe e cercando il KERNEL. SMARTLOCKER. ORIGINCLAIM EA. È quindi possibile usare i dati della prima riga di output per identificare se il file è stato creato da un programma di installazione gestito. Si esaminerà ad esempio l'output fsutil.exe per un file denominato application.exe:

Esempio:

fsutil.exe file queryEA C:\Users\Temp\Downloads\application.exe

Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:

Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e

Dall'output illustrato in precedenza trovare la prima riga di dati con etichetta "0000:", seguita da 16 set di due caratteri. Ogni quattro set formano un gruppo noto come ULONG. Il set di due caratteri nella parte anteriore del primo ULONG sarà sempre "01", come illustrato di seguito:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Se è presente "00" nella quinta posizione dell'output (l'inizio del secondo ULONG), indica che l'EA è correlato al programma di installazione gestito:

0000: 01 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00

Infine, il set di due caratteri nella nona posizione dell'output (l'inizio del terzo ULONG) indica se il file è stato creato da un processo in esecuzione come programma di installazione gestito. Il valore "00" indica che il file è stato scritto direttamente da un processo di installazione gestito e verrà eseguito se i criteri WDAC considerano attendibili i programmi di installazione gestiti.

0000: 01 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00

Se invece il valore iniziale per il terzo ULONG è "02", indica un "figlio di figlio". "Figlio di figlio" viene impostato su tutti i file creati da un elemento installato da un programma di installazione gestito. Tuttavia, il file è stato creato dopo che il programma di installazione gestito ha completato il lavoro. Pertanto, questo file non può essere eseguito a meno che non sia presente un'altra regola nei criteri per consentirlo.

In casi più rari, è possibile che vengano visualizzati altri valori in questa posizione, ma che verranno eseguiti anche se i criteri considerano attendibile il programma di installazione gestito.

Uso di fsutil per eseguire query sugli attributi estesi per Intelligent Security Graph (ISG)

Quando viene eseguito un programma di installazione con una buona reputazione in base all'ISG, i file scritti dal programma di installazione su disco erediteranno la reputazione dal programma di installazione. Anche questi file con attendibilità ereditata da ISG avranno kernel. SMARTLOCKER. ORIGINCLAIM EA impostato come descritto in precedenza per i programmi di installazione gestiti. È possibile identificare che l'EA è stato creato dall'ISG cercando il valore "01" nella quinta posizione dell'output (l'inizio del secondo ULONG) da fsutil:

0000: 01 00 00 00 01 00 00 00 00 00 00 01 00 00 00 00 00

Altri passaggi per la risoluzione dei problemi relativi al programma di installazione gestito e all'ISG

Sia il programma di installazione gestito che l'ISG dipendono da AppLocker per fornire alcune funzionalità. Seguire questa procedura per verificare che AppLocker sia configurato e in esecuzione correttamente.

1. Verificare che i servizi AppLocker siano in esecuzione. Da una finestra di PowerShell con privilegi elevati eseguire quanto segue e verificare che STATE sia IN ESECUZIONE sia per appidsvc che per AppLockerFltr:

   sc.exe query appidsvc
       SERVICE_NAME: appidsvc
       TYPE               : 30  WIN32
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   sc.exe query AppLockerFltr
       SERVICE_NAME: applockerfltr
       TYPE               : 1  KERNEL_DRIVER
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   

   In caso contrario, eseguire appidtel start dalla finestra di PowerShell con privilegi elevati e riprovare.

2. Per il programma di installazione gestito, verificare la presenza di AppCache.dat e altri *. File appLocker creati in %windir%\System32\AppLocker. Dovrebbe essere minimo un ". AppLocker" creato per ogni raccolta di regole EXE, DLL e MANAGEDINSTALLER. Se questi file non vengono creati, procedere con il passaggio successivo per verificare che i criteri di AppLocker siano stati applicati correttamente.

3. Per la risoluzione dei problemi relativi al programma di installazione gestito, verificare che i criteri effettivi di AppLocker siano corretti. Da una finestra di PowerShell con privilegi elevati:

   Get-AppLockerPolicy -Effective -XML > $env:USERPROFILE\Desktop\AppLocker.xml
   

   Aprire quindi il file XML creato e verificare che contenga le regole previste. In particolare, i criteri devono includere almeno una regola per ogni oggetto EXE, DLL e MANAGEDINSTALLER RuleCollections. RuleCollections può essere impostato su AuditOnly o Enabled. Inoltre, gli oggetti RuleCollection EXE e DLL devono includere la configurazione RuleCollectionExtensions, come illustrato in Consenti automaticamente le app distribuite da un programma di installazione gestito con Windows Defender controllo applicazione.