Guia de solução de problemas e referência técnica de ISG e instalador gerenciado

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Observação

Alguns recursos do Windows Defender Application Control só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso controle de aplicativo.

Habilitar eventos de log de ISG (instalador gerenciado e grafo de segurança inteligente)

Consulte Noções básicas sobre eventos de controle de aplicativo para obter informações sobre como habilitar eventos opcionais de diagnóstico do instalador gerenciado.

Usando fsutil para consultar atributos estendidos para MI (Instalador Gerenciado)

Os clientes que usam o WDAC (Controle de Aplicativo) Windows Defender com o MI (Instalador Gerenciado) habilitado podem usar fsutil.exe para determinar se um arquivo foi criado por um processo de instalador gerenciado. Essa verificação é feita consultando os EAs (Atributos Estendidos) em um arquivo usando fsutil.exe e procurando o KERNEL. SMARTLOCKER. ORIGINCLAIM EA. Em seguida, você pode usar os dados da primeira linha de saída para identificar se o arquivo foi criado por um instalador gerenciado. Por exemplo, vamos examinar a saída de fsutil.exe para um arquivo chamado application.exe:

Exemplo:

fsutil.exe file queryEA C:\Users\Temp\Downloads\application.exe

Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:

Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e

Na saída mostrada acima, localize a primeira linha de dados rotulada como "0000:", que é seguida por 16 conjuntos de dois caracteres. Cada quatro conjuntos formam um grupo conhecido como ULONG. O conjunto de dois caracteres na frente do primeiro ULONG sempre será "01", conforme mostrado aqui:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00

Se houver "00" na quinta posição da saída (o início do segundo ULONG), isso indicará que o EA está relacionado ao instalador gerenciado:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00

Por fim, o conjunto de dois caracteres na nona posição da saída (o início do terceiro ULONG) indica se o arquivo foi criado por um processo em execução como instalador gerenciado. Um valor de "00" significa que o arquivo foi gravado diretamente por um processo de instalador gerenciado e será executado se sua política WDAC confiar em instaladores gerenciados.

0000: 01 00 00 00 00 00 0000 00 00 00 00 01 00 00 00

Se, em vez disso, o valor inicial do terceiro ULONG for "02", isso indicará um "filho da criança". "Filho do filho" é definido em todos os arquivos criados por algo que foi instalado por um instalador gerenciado. Mas, o arquivo foi criado depois que o instalador gerenciado concluiu seu trabalho. Portanto, esse arquivo não teria permissão para ser executado a menos que haja alguma outra regra em sua política para permitir isso.

Em casos mais raros, você pode ver outros valores nessa posição, mas isso também será executado se sua política confiar no instalador gerenciado.

Usando fsutil para consultar atributos estendidos para ISG (Intelligent Security Graph)

Quando um instalador é executado com boa reputação de acordo com o ISG, os arquivos gravados pelo instalador no disco herdarão a reputação do instalador. Esses arquivos com a confiança herdada do ISG também terão o KERNEL. SMARTLOCKER. ORIGINCLAIM EA definido como descrito acima para instaladores gerenciados. Você pode identificar que o EA foi criado pelo ISG procurando o valor "01" na quinta posição da saída (o início do segundo ULONG) do fsutil:

0000: 01 00 00 01 00 00 00 00 00 00 00 00 01 00 00 00

Mais etapas de solução de problemas para o Instalador Gerenciado e o ISG

Tanto o instalador gerenciado quanto o ISG dependem do AppLocker para fornecer alguma funcionalidade. Use as etapas a seguir para confirmar se o AppLocker está configurado e em execução corretamente.

1. Verifique se os serviços AppLocker estão em execução. Em uma janela do PowerShell elevada, execute o seguinte e confirme os programas STATE como RUNNING para appidsvc e AppLockerFltr:

   sc.exe query appidsvc
       SERVICE_NAME: appidsvc
       TYPE               : 30  WIN32
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   sc.exe query AppLockerFltr
       SERVICE_NAME: applockerfltr
       TYPE               : 1  KERNEL_DRIVER
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   

   Caso contrário, execute appidtel iniciar a partir da janela do PowerShell elevada e marcar novamente.

2. Para instalador gerenciado, marcar para AppCache.dat e outros *. Arquivos AppLocker criados em %windir%\System32\AppLocker. Deve haver minimamente um ". Arquivo AppLocker" criado para cada uma das coleções de regras EXE, DLL e MANAGEDINSTALLER. Se você não vir esses arquivos criados, prossiga para a próxima etapa para confirmar se a política AppLocker foi aplicada corretamente.

3. Para solução de problemas do instalador gerenciado, marcar que a política efetiva do AppLocker esteja correta. De uma janela do PowerShell elevada:

   Get-AppLockerPolicy -Effective -XML > $env:USERPROFILE\Desktop\AppLocker.xml
   

   Em seguida, abra o arquivo XML criado e confirme se ele contém as regras esperadas. Em particular, a política deve incluir pelo menos uma regra para cada uma das Regras EXE, DLL e MANAGEDINSTALLERCollections. As RuleCollections podem ser definidas como AuditOnly ou Habilitada. Além disso, as regras EXE e DLLCollections devem incluir a configuração RuleCollectionExtensions, conforme mostrado em Permitir automaticamente aplicativos implantados por um instalador gerenciado com Windows Defender Controle de Aplicativo.