アプリケーション制御イベントのタグについて
Windows Defender アプリケーション制御 (WDAC) イベントには多くのフィールドが含まれており、イベントの意味を正確に把握するためのトラブルシューティング情報を提供します。 この記事では、いくつかの便利なイベント タグの値と意味について説明します。
SignatureType
イメージを検証した署名の種類を表します。
| SignatureType 値 | 説明 |
|---|---|
| 0 | 署名なしまたは検証が試行されていない |
| 1 | 埋め込み署名 |
| 2 | キャッシュされた署名。CI EA の存在は、ファイルが以前に検証されたことを意味します |
| 3 | カタログ データベースまたはカタログを直接検索して検証されたキャッシュ されたカタログ |
| 4 | カタログ データベースまたはカタログを直接検索して検証されたキャッシュされていないカタログ |
| 5 | 最初に試すカタログを CI に通知する EA を使用して正常に検証されました |
| 6 | AppX/MSIX パッケージ カタログの検証済み |
| 7 | ファイルが検証されました |
要求された署名レベルと検証済み署名レベル
コードが検証された署名レベルを表します。
| SigningLevel 値 | 説明 |
|---|---|
| 0 | 署名レベルがまだチェックされていない |
| 1 | ファイルが署名されていないか、アクティブなポリシーに合格する署名がない |
| 2 | アプリケーション制御ポリシーによって信頼Windows Defender |
| 3 | 開発者が署名したコード |
| 4 | Authenticode signed |
| 5 | Microsoft Store 署名済みアプリ PPL (保護されたプロセス ライト) |
| 6 | Microsoft Store 署名済み |
| 7 | AMPPL を使用している製品を持つマルウェア対策ベンダーによって署名された |
| 8 | Microsoft の署名済み |
| 11 | .NET NGEN コンパイラの署名にのみ使用されます |
| 12 | Windows 署名済み |
| 14 | Windows トラステッド コンピューティング ベースの署名済み |
VerificationError
検証が失敗した理由、または検証が成功した理由を表します。
| VerificationError 値 | 説明 |
|---|---|
| 0 | 署名が正常に検証されました。 |
| 1 | ファイルに無効なハッシュがあります。 |
| 2 | ファイルには、書き込み可能な共有セクションが含まれています。 |
| 3 | ファイルが署名されていません。 |
| 4 | 失効した署名。 |
| 5 | 期限切れの署名。 |
| 6 | ファイルは、最小ポリシーを満たしていない弱いハッシュ アルゴリズムを使用して署名されます。 |
| 7 | 無効なルート証明書。 |
| 8 | 署名を検証できませんでした。ジェネリック エラー。 |
| 9 | 署名時間が信頼されていません。 |
| 10 | このシナリオでは、ページ ハッシュを使用してファイルに署名する必要があります。 |
| 11 | ページ ハッシュの不一致。 |
| 12 | PPL (保護されたプロセス ライト) では無効です。 |
| 13 | PP (保護されたプロセス) では無効です。 |
| 14 | 署名に必要な ARM プロセッサ EKU がありません。 |
| 15 | WHQL チェックが失敗しました。 |
| 16 | 既定のポリシー署名レベルが満たされていません。 |
| 17 | カスタム ポリシー署名レベルが満たされていません。署名が SBCP 定義の証明書セットに対して検証されない場合に返されます。 |
| 18 | カスタム署名レベルが満たされていません。UMCI で署名の一致 CISigners に失敗した場合に返されます。 |
| 19 | バイナリは、そのファイル ハッシュに基づいて取り消されます。 |
| 20 | SHA1 証明書ハッシュのタイムスタンプが見つからないか、弱い暗号化ポリシーで定義されている有効なカットオフの後。 |
| 21 | アプリケーション制御ポリシー Windows Defender渡すことができませんでした。 |
| 22 | 分離ユーザー モード (IUM) が署名されていません。は、標準の Windows バイナリを仮想化ベースのセキュリティ (VBS) トラストレットに読み込もうとすることを示します。 |
| 23 | 無効なイメージ ハッシュ。 このエラーは、ファイルの破損やファイルの署名の問題を示している可能性があります。 ECDSA などの楕円曲線暗号 (ECC) を使用する署名は、この VerificationError を返します。 |
| 24 | フライト ルートは許可されていません。は、実稼働 OS でフライト署名付きコードを実行しようとしていることを示します。 |
| 25 | アンチチートポリシー違反。 |
| 26 | WADC ポリシーによって明示的に拒否されました。 |
| 27 | 署名チェーンが改ざんまたは無効なように見えます。 |
| 28 | リソース ページ ハッシュの不一致。 |
ポリシーのアクティブ化イベントオプション
ポリシー のアクティブ化イベントを成功させるには、[詳細] セクションの [オプション] フィールドからアプリケーション制御ポリシー ルールのオプション値を取得できます。 値を解析するには、最初に 16 進値をバイナリに変換します。 これらの値を派生して解析するには、次のワークフローに従います。
- アクセス イベント ビューアー。
- Code integrity 3099 イベントにアクセスします。
- 詳細ウィンドウにアクセスします。
- [オプション] フィールドに一覧表示されている 16 進コードを特定します。
- 16 進コードをバイナリに変換します。
16 進数をバイナリに変換するための簡単なソリューションについては、次の手順に従います。
- 電卓アプリを開きます。
- メニュー アイコンを選択します。
- [ プログラマー モード] を選択します。
- [ HEX] を選択します。
- 16 進コードを入力します。 例:
80881000。 - [Bit Toggling Keyboard]\(ビットトグル キーボード\) に切り替えます。
このビューでは、バイナリ形式の 16 進コードが提供され、各ビット アドレスが個別に表示されます。 ビット アドレスは右下の 0 から始まります。 各ビット アドレスは、特定のイベント ポリシー ルール オプションに関連付けられます。 ビット アドレスが 1 の値を保持している場合、設定はポリシー内にあります。
次に、次の表のビット アドレスとその値を使用して、各 ポリシー ルール オプションの状態を判断します。 たとえば、ビット アドレス 16 に 1 の値が保持されている場合、ポリシーには [Enabled: Audit Mode (Default)] オプションがあります。 この設定は、ポリシーが監査モードであることを意味します。
| ビット アドレス | ポリシー ルール オプション |
|---|---|
| 2 | Enabled:UMCI |
| 3 | Enabled:Boot Menu Protection |
| 4 | Enabled:Intelligent Security Graph Authorization |
| 5 | Enabled:Invalidate EAs on Reboot |
| 7 | Required:WHQL |
| 10 | Enabled:Allow Supplemental Policies |
| 11 | Disabled:Runtime FilePath Rule Protection |
| 13 | Enabled:Revoked Expired As Unsigned |
| 16 | Enabled:Audit Mode (Default) |
| 17 | Disabled:Flight Signing |
| 18 | Enabled:Inherit Default Policy |
| 19 | Enabled:Unsigned System Integrity Policy (Default) |
| 20 | Enabled:Dynamic Code Security |
| 21 | Required:EV Signers |
| 22 | Enabled:Boot Audit on Failure |
| 23 | Enabled:Advanced Boot Options Menu |
| 24 | Disabled:Script Enforcement |
| 25 | Required:Enforce Store Applications |
| 27 | Enabled:Managed Installer |
| 28 | Enabled:Update Policy No Reboot |
Windows によって信頼される Microsoft ルート CA
この規則は、このルート CA にチェーンする証明書によって署名されたものを信頼することを意味します。
| ルート ID | ルート名 |
|---|---|
| 0 | なし |
| 1 | Unknown |
| 2 | Self-Signed |
| 3 | Microsoft Authenticode(tm) Root Authority |
| 4 | Microsoft Product Root 1997 |
| 5 | Microsoft Product Root 2001 |
| 6 | Microsoft Product Root 2010 |
| 7 | Microsoft Standard Root 2011 |
| 8 | Microsoft Code Verification Root 2006 |
| 9 | Microsoft Test Root 1999 |
| 10 | Microsoft Test Root 2010 |
| 11 | Microsoft DMD Test Root 2005 |
| 12 | Microsoft DMDRoot 2005 |
| 13 | Microsoft DMD Preview Root 2005 |
| 14 | Microsoft Flight Root 2014 |
| 15 | Microsoft サード パーティ Marketplace ルート |
| 16 | Microsoft ECC Testing Root CA 2017 |
| 17 | Microsoft ECC 開発ルート CA 2018 |
| 18 | Microsoft ECC 製品ルート CA 2018 |
| 19 | Microsoft ECC Devices Root CA 2017 |
既知のルートの場合、証明書の TBS ハッシュは、アプリケーション制御のコードWindows Defenderベイクされます。 たとえば、ポリシー ファイルに TBS ハッシュとして一覧表示する必要はありません。
状態の値
システム情報の通信に使用される値を表します。 成功値、情報値、警告値、エラー値の 4 種類です。 一般的な使用状況の詳細については、「 NTSATUS 」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示