Application Control 이벤트 이해
WDAC 이벤트 개요
WDAC는 정책이 로드될 때, 파일이 차단된 경우 또는 감사 모드인 경우 파일이 차단될 때 이벤트를 기록합니다. 이러한 블록 이벤트에는 정책을 식별하고 블록에 대한 자세한 정보를 제공하는 정보가 포함됩니다. WDAC는 이진이 허용되는 경우 이벤트를 생성하지 않습니다. 그러나 이 문서의 뒷부분에 설명된 대로 관리되는 설치 관리자 또는 ISG(Intelligent Security Graph)에서 승인한 파일에 대한 감사 이벤트 허용을 켤 수 있습니다.
핵심 WDAC 이벤트 로그
WDAC 이벤트는 Windows 이벤트 뷰어 두 위치 아래에 생성됩니다.
- 애플리케이션 및 서비스 로그 - Microsoft - Windows - CodeIntegrity - 운영 에는 애플리케이션 제어 정책 활성화 및 실행 파일, dll 및 드라이버 제어에 대한 이벤트가 포함됩니다.
- 애플리케이션 및 서비스 로그 - Microsoft - Windows - AppLocker - MSI 및 스크립트에는 MSI 설치 관리자, 스크립트 및 COM 개체 제어에 대한 이벤트가 포함됩니다.
WDAC가 활성 상태일 때 발생하는 대부분의 앱 및 스크립트 오류는 이러한 두 이벤트 로그를 사용하여 진단할 수 있습니다. 이 문서에서는 이러한 로그에 존재하는 이벤트를 자세히 설명합니다. 이러한 이벤트의 세부 정보에 있는 다양한 데이터 요소 또는 태그의 의미를 이해하려면 Application Control 이벤트 태그 이해를 참조하세요.
참고
애플리케이션 및 서비스 로그 - Microsoft - Windows - AppLocker - MSI 및 스크립트 이벤트는 Windows Server Core 버전에 포함되지 않습니다.
실행 파일, dll 및 드라이버에 대한 WDAC 블록 이벤트
이러한 이벤트는 CodeIntegrity - 운영 이벤트 로그에서 찾을 수 있습니다.
| 이벤트 ID | 설명 |
|---|---|
| 3004 | 이 이벤트는 일반적이지 않으며 애플리케이션 제어 정책이 있거나 없는 경우에 발생할 수 있습니다. 일반적으로 커널 드라이버가 잘못된 서명으로 로드하려고 했음을 나타냅니다. 예를 들어 파일이 WHQL이 필요한 시스템에서 WHQL로 서명되지 않을 수 있습니다. 이 이벤트는 개발자가 /INTEGRITYCHECK 에 옵트인했지만 올바르게 서명되지 않은 커널 또는 사용자 모드 코드에도 표시됩니다. |
| 3033 | 이 이벤트는 애플리케이션 제어 정책이 있거나 없는 상태에서 발생할 수 있으며 WDAC 정책으로 인해 발생하는 경우 3077 이벤트와 함께 발생해야 합니다. 파일의 서명이 해지되거나 수명 서명 EKU가 있는 서명이 만료되었음을 의미하는 경우가 많습니다. 수명 서명 EKU의 존재는 WDAC가 만료된 서명으로 인해 파일을 차단하는 유일한 경우입니다. 해지되거나 만료된 인증서에 의존하지 않는 규칙(예: 해시)과 함께 정책에서 옵션을 20 Enabled:Revoked Expired As Unsigned 사용해 보세요.이 이벤트는 CIG(Code Integrity Guard) 로 컴파일된 코드가 CIG 요구 사항을 충족하지 않는 다른 코드를 로드하려고 하는 경우에도 발생합니다. |
| 3034 | 이 이벤트는 일반적이지 않습니다. 이벤트 3033과 동일한 감사 모드입니다. |
| 3076 | 이 이벤트는 감사 모드 정책에 대한 기본 Application Control 블록 이벤트입니다. 정책이 적용된 경우 파일이 차단되었음을 나타냅니다. |
| 3077 | 이 이벤트는 적용된 정책에 대한 기본 Application Control 블록 이벤트입니다. 파일이 정책을 통과하지 못해 차단되었음을 나타냅니다. |
| 3089 | 이 이벤트에는 애플리케이션 제어에 의해 차단되거나 감사가 차단된 파일에 대한 서명 정보가 포함됩니다. 이러한 이벤트 중 하나는 파일의 각 서명에 대해 만들어집니다. 각 이벤트는 찾은 총 서명 수와 현재 서명을 식별하는 인덱스 값을 표시합니다. 서명되지 않은 파일은 TotalSignatureCount가 0인 이러한 이벤트 중 하나를 생성합니다. 이러한 이벤트는 3004, 3033, 3034, 3076 및 3077 이벤트와 상관 관계가 있습니다. 이벤트의 시스템 부분에 있는 를 Correlation ActivityID 사용하여 이벤트를 일치시킬 수 있습니다. |
패키지된 앱, MSI 설치 관리자, 스크립트 및 COM 개체에 대한 WDAC 차단 이벤트
이러한 이벤트는 AppLocker - MSI 및 스크립트 이벤트 로그에서 찾을 수 있습니다.
| 이벤트 ID | 설명 |
|---|---|
| 8028 | 이 이벤트는 PowerShell과 같은 스크립트 호스트가 스크립트 호스트가 실행하려고 하는 파일에 대해 Application Control을 쿼리했음을 나타냅니다. 정책이 감사 모드이기 때문에 스크립트 또는 MSI 파일이 실행되었어야 하지만 WDAC 정책이 적용된 경우에는 전달되지 않았을 것입니다. 일부 스크립트 호스트는 로그에 추가 정보를 가질 수 있습니다. 참고: 대부분의 타사 스크립트 호스트는 Application Control과 통합되지 않습니다. 실행할 수 있는 스크립트 호스트를 선택할 때 확인되지 않은 스크립트의 위험을 고려합니다. |
| 8029 | 이 이벤트는 이벤트 8028과 동일한 적용 모드입니다. 참고: 이 이벤트는 스크립트가 차단되었다고 말하지만 스크립트 호스트는 실제 스크립트 적용 동작을 제어합니다. 스크립트 호스트는 파일이 제한 사항으로 실행되도록 허용하고 파일을 완전히 차단하지 않을 수 있습니다. 예를 들어 PowerShell은 제한된 언어 모드에서 WDAC 정책에서 허용되지 않는 스크립트를 실행합니다. |
| 8036 | COM 개체가 차단되었습니다. COM 개체 권한 부여에 대한 자세한 내용은 Windows Defender 애플리케이션 제어 정책에서 COM 개체 등록 허용을 참조하세요. |
| 8037 | 이 이벤트는 스크립트 호스트가 스크립트 실행을 허용할지 여부를 확인하고 파일이 WDAC 정책을 통과했음을 나타냅니다. |
| 8038 | 서명 정보 이벤트는 8028 또는 8029 이벤트와 관련이 있습니다. 스크립트 파일의 각 서명에 대해 하나의 8038 이벤트가 생성됩니다. 스크립트 파일의 총 서명 수와 서명에 대한 인덱스를 포함합니다. 서명되지 않은 스크립트 파일은 TotalSignatureCount 0을 사용하여 단일 8038 이벤트를 생성합니다. 이러한 이벤트는 8028 및 8029 이벤트와 상관 관계가 있으며 이벤트의 시스템 부분에 있는 를 사용하여 Correlation ActivityID 일치시킬 수 있습니다. |
| 8039 | 이 이벤트는 WDAC 정책이 감사 모드에 있으므로 패키지된 앱(MSIX/AppX)을 설치하거나 실행할 수 있음을 나타냅니다. 그러나 정책이 시행되면 차단되었을 것입니다. |
| 8040 | 이 이벤트는 WDAC 정책으로 인해 패키지된 앱의 설치 또는 실행이 차단되었음을 나타냅니다. |
WDAC 정책 활성화 이벤트
이러한 이벤트는 CodeIntegrity - 운영 이벤트 로그에서 찾을 수 있습니다.
| 이벤트 ID | 설명 |
|---|---|
| 3095 | 애플리케이션 제어 정책을 새로 고칠 수 없으며 대신 다시 부팅해야 합니다. |
| 3096 | 애플리케이션 제어 정책은 이미 최신 상태이므로 새로 고쳐지지 않았습니다. 이 이벤트의 세부 정보에는 정책 옵션과 같은 정책에 대한 유용한 정보가 포함됩니다. |
| 3097 | 애플리케이션 제어 정책을 새로 고칠 수 없습니다. |
| 3099 | 정책이 로드되었음을 나타냅니다. 이 이벤트의 세부 정보에는 애플리케이션 제어 정책에 대한 유용한 정보(예: 정책 옵션)가 포함됩니다. |
| 3100 | 애플리케이션 제어 정책이 새로 고쳐졌지만 활성화에 실패했습니다. 재시도. |
| 3101 | N 정책에 대한 애플리케이션 제어 정책 새로 고침이 시작되었습니다. |
| 3102 | N 정책에 대한 애플리케이션 제어 정책 새로 고침이 완료되었습니다. |
| 3103 | 시스템에서 애플리케이션 제어 정책 새로 고침을 무시하고 있습니다. 예를 들어 정품 인증 조건을 충족하지 않는 받은 편지함 Windows 정책입니다. |
| 3105 | 시스템에서 지정된 ID로 애플리케이션 제어 정책을 새로 고치려고 합니다. |
ISG(Intelligent Security Graph) 및 MI(관리형 설치 관리자)에 대한 진단 이벤트
참고
관리되는 설치 관리자를 사용하도록 설정하면 LogAnalytics를 사용하는 고객은 관리되는 설치 관리자가 많은 3091개의 이벤트를 발생시키는 것을 알고 있어야 합니다. 고객은 높은 LogAnalytics 비용을 방지하기 위해 이러한 이벤트를 필터링해야 할 수 있습니다.
다음 이벤트는 WDAC 정책에 ISG 또는 MI 옵션이 포함된 경우 유용한 진단 정보를 제공합니다. 이러한 이벤트는 관리되는 설치 관리자 또는 ISG를 기반으로 허용/거부된 이유를 디버그하는 데 도움이 될 수 있습니다. 이벤트 3090, 3091 및 3092는 반드시 문제를 나타내는 것은 아니지만 3076 또는 3077과 같은 다른 이벤트와 컨텍스트에서 검토해야 합니다.
달리 명시되지 않는 한 이러한 이벤트는 Windows 버전에 따라 CodeIntegrity - 운영 이벤트 로그 또는 CodeIntegrity - 자세한 정보 표시 이벤트 로그에서 찾을 수 있습니다.
| 이벤트 ID | 설명 |
|---|---|
| 3090 | 선택적 이 이벤트는 ISG 또는 관리되는 설치 관리자를 기반으로 파일을 실행할 수 있음을 나타냅니다. |
| 3091 | 이 이벤트는 파일에 ISG 또는 관리형 설치 관리자 권한 부여가 없고 애플리케이션 제어 정책이 감사 모드임을 나타냅니다. |
| 3092 | 이 이벤트는 3091에 해당하는 적용 모드입니다. |
| 8002 | 이 이벤트는 AppLocker - EXE 및 DLL 이벤트 로그에 있습니다. 관리되는 설치 관리자 규칙과 일치하는 프로세스가 시작되면 이 이벤트는 이벤트 세부 정보에 있는 PolicyName = MANAGEDINSTALLER를 사용하여 발생합니다. PolicyName = EXE 또는 DLL이 있는 이벤트는 WDAC와 관련이 없습니다. |
이벤트 3090, 3091 및 3092는 시스템의 활성 정책별로 보고되므로 동일한 파일에 대해 여러 이벤트가 표시 될 수 있습니다.
ISG 및 MI 진단 이벤트 세부 정보
다음 정보는 3090, 3091 및 3092 이벤트에 대한 세부 정보에서 찾을 수 있습니다.
| 이름 | 설명 |
|---|---|
| ManagedInstallerEnabled | 지정된 정책에서 관리되는 설치 관리자 트러스트를 사용할 수 있는지 여부를 나타냅니다. |
| PasssManagedInstaller | 파일이 MI에서 시작되었는지 여부를 나타냅니다. |
| SmartlockerEnabled | 지정된 정책에서 ISG 트러스트를 사용할 수 있는지 여부를 나타냅니다. |
| PasssSmartlocker | ISG에 따라 파일이 긍정적인 평판을 가졌는지 여부를 나타냅니다. |
| AuditEnabled | True이면 애플리케이션 제어 정책이 감사 모드이고, 그렇지 않으면 적용 모드에 있습니다. |
| PolicyName | 이벤트가 적용되는 애플리케이션 제어 정책의 이름 |
ISG 및 MI 진단 이벤트 사용
3090 허용 이벤트를 사용하도록 설정하려면 다음 PowerShell 명령에 표시된 대로 값이 0x300 TestFlags regkey를 만듭니다. 그런 다음 컴퓨터를 다시 시작합니다.
reg add hklm\system\currentcontrolset\control\ci -v TestFlags -t REG_DWORD -d 0x300
이벤트 3091 및 3092는 일부 버전의 Windows에서 비활성 상태이며 이전 명령에 의해 설정됩니다.
부록
기타 관련 이벤트 ID 및 해당 설명의 목록입니다.
| 이벤트 ID | 설명 |
|---|---|
| 3001 | 서명되지 않은 드라이버가 시스템에 로드하려고 했습니다. |
| 3002 | 페이지 해시를 찾을 수 없으므로 코드 무결성에서 부팅 이미지를 확인할 수 없습니다. |
| 3004 | 페이지 해시를 찾을 수 없으므로 코드 무결성에서 파일을 확인할 수 없습니다. |
| 3010 | 유효성 검사 중인 파일에 대한 서명이 포함된 카탈로그가 잘못되었습니다. |
| 3011 | 코드 무결성은 서명 카탈로그 로드를 완료했습니다. |
| 3012 | 코드 무결성이 서명 카탈로그 로드를 시작했습니다. |
| 3023 | 유효성 검사 중인 드라이버 파일이 애플리케이션 제어 정책을 통과하기 위한 요구 사항을 충족하지 못했습니다. |
| 3024 | Windows 애플리케이션 컨트롤에서 부팅 카탈로그 파일을 새로 고칠 수 없습니다. |
| 3026 | Microsoft 또는 인증서 발급 기관이 카탈로그에 서명한 인증서를 해지했습니다. |
| 3032 | 유효성 검사 중인 파일이 해지되거나 파일에 해지된 서명이 있습니다. |
| 3033 | 유효성 검사 중인 파일이 애플리케이션 제어 정책을 통과하기 위한 요구 사항을 충족하지 못했습니다. |
| 3034 | 유효성 검사 중인 파일이 적용된 경우 애플리케이션 제어 정책을 통과하기 위한 요구 사항을 충족하지 않습니다. 정책이 감사 모드에 있기 때문에 파일이 허용되었습니다. |
| 3036 | Microsoft 또는 인증서 발급 기관이 유효성을 검사하는 파일에 서명한 인증서를 해지했습니다. |
| 3064 | 애플리케이션 제어 정책이 적용된 경우 유효성 검사 중인 사용자 모드 DLL이 애플리케이션 제어 정책을 통과하기 위한 요구 사항을 충족하지 않습니다. 정책이 감사 모드에 있기 때문에 DLL이 허용되었습니다. |
| 3065 | 애플리케이션 제어 정책이 적용된 경우 유효성 검사 중인 사용자 모드 DLL이 애플리케이션 제어 정책을 통과하기 위한 요구 사항을 충족하지 않습니다. |
| 3074 | 하이퍼바이저로 보호된 코드 무결성을 사용하는 동안 페이지 해시 오류가 발생했습니다. |
| 3075 | 이 이벤트는 파일 유효성 검사 중에 검사 애플리케이션 제어 정책의 성능을 측정합니다. |
| 3076 | 이 이벤트는 감사 모드 정책에 대한 기본 Application Control 블록 이벤트입니다. 정책이 적용된 경우 파일이 차단되었음을 나타냅니다. |
| 3077 | 이 이벤트는 적용된 정책에 대한 기본 Application Control 블록 이벤트입니다. 파일이 정책을 통과하지 못해 차단되었음을 나타냅니다. |
| 3079 | 유효성 검사 중인 파일이 애플리케이션 제어 정책을 통과하기 위한 요구 사항을 충족하지 못했습니다. |
| 3080 | 애플리케이션 제어 정책이 적용 모드인 경우 유효성 검사 중인 파일이 애플리케이션 제어 정책을 통과하기 위한 요구 사항을 충족하지 못했을 것입니다. |
| 3081 | 유효성 검사 중인 파일이 애플리케이션 제어 정책을 통과하기 위한 요구 사항을 충족하지 못했습니다. |
| 3082 | 애플리케이션 제어 정책이 적용된 경우 정책은 이 비 WHQL 드라이버를 차단했을 것입니다. |
| 3084 | 코드 무결성은 이 부팅 세션에 WHQL 드라이버 서명 요구 사항을 적용합니다. |
| 3085 | 코드 무결성은 이 부팅 세션에서 WHQL 드라이버 서명 요구 사항을 적용하지 않습니다. |
| 3086 | 유효성 검사 중인 파일이 격리된 IUM(사용자 모드) 프로세스에 대한 서명 요구 사항을 충족하지 않습니다. |
| 3089 | 이 이벤트에는 애플리케이션 제어에 의해 차단되거나 감사가 차단된 파일에 대한 서명 정보가 포함됩니다. 파일의 각 서명에 대해 하나의 3089 이벤트가 만들어집니다. |
| 3090 | 선택적 이 이벤트는 ISG 또는 관리되는 설치 관리자를 기반으로 파일을 실행할 수 있음을 나타냅니다. |
| 3091 | 이 이벤트는 파일에 ISG 또는 관리형 설치 관리자 권한 부여가 없고 애플리케이션 제어 정책이 감사 모드임을 나타냅니다. |
| 3092 | 이 이벤트는 3091에 해당하는 적용 모드입니다. |
| 3095 | 애플리케이션 제어 정책을 새로 고칠 수 없으며 대신 다시 부팅해야 합니다. |
| 3096 | 애플리케이션 제어 정책은 이미 최신 상태이므로 새로 고쳐지지 않았습니다. |
| 3097 | 애플리케이션 제어 정책을 새로 고칠 수 없습니다. |
| 3099 | 정책이 로드되었음을 나타냅니다. 이 이벤트에는 애플리케이션 제어 정책에서 설정한 옵션에 대한 정보도 포함됩니다. |
| 3100 | 애플리케이션 제어 정책이 새로 고쳐졌지만 활성화에 실패했습니다. 재시도. |
| 3101 | 시스템에서 애플리케이션 제어 정책을 새로 고치기 시작했습니다. |
| 3102 | 시스템에서 애플리케이션 제어 정책 새로 고침을 완료했습니다. |
| 3103 | 시스템에서 애플리케이션 제어 정책 새로 고침을 무시하고 있습니다. |
| 3104 | 유효성 검사 중인 파일은 PPL(보호된 프로세스 표시등) 프로세스에 대한 서명 요구 사항을 충족하지 않습니다. |
| 3105 | 시스템에서 애플리케이션 제어 정책을 새로 고치려고 합니다. |
| 3108 | Windows 모드 변경 이벤트가 성공했습니다. |
| 3110 | Windows 모드 변경 이벤트가 실패했습니다. |
| 3111 | 유효성 검사 중인 파일이 HVCI(하이퍼바이저로 보호된 코드 무결성) 정책을 충족하지 못했습니다. |
| 3112 | Windows에서 유효성을 검사하는 파일에 서명한 인증서를 해지했습니다. |
| 3114 | 동적 코드 보안은 .NET 앱 또는 DLL을 애플리케이션 제어 정책 유효성 검사에 선택했습니다. 유효성 검사 중인 파일이 정책을 통과하지 못해 차단되었습니다. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기