Compartilhar via


Guia de solução de problemas e referência técnica de ISG e instalador gerenciado

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

Ativar o instalador gerido e eventos de registo do Gráfico de Segurança Inteligente (ISG)

Veja Compreender os Eventos de Controlo de Aplicações para obter informações sobre como ativar eventos de diagnóstico do instalador gerido opcional.

Utilizar fsutil para consultar atributos expandidos para o Managed Installer (MI)

Os clientes que utilizam o Controlo de Aplicações para Empresas com o Instalador Gerido (MI) ativado podem utilizar fsutil.exe para determinar se um ficheiro foi criado por um processo de instalação gerido. Esta verificação é feita ao consultar os Atributos Expandidos (EAs) num ficheiro com fsutil.exe e ao procurar o KERNEL. SMARTLOCKER. ORIGINCLAIM EA. Em seguida, pode utilizar os dados da primeira linha de saída para identificar se o ficheiro foi criado por um instalador gerido. Por exemplo, vamos ver a saída do fsutil.exe de um ficheiro chamado application.exe:

Exemplo:

fsutil.exe file queryEA C:\Users\Temp\Downloads\application.exe

Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:

Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e

Na saída apresentada acima, localize a primeira linha de dados com o nome "0000:", que é seguida por 16 conjuntos de dois carateres. Cada quatro conjuntos forma um grupo conhecido como ULONG. O conjunto de dois carateres na parte frontal do primeiro ULONG será sempre "01", conforme mostrado aqui:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00

Se existir "00" na quinta posição do resultado (o início do segundo ULONG), isso indica que o EA está relacionado com o instalador gerido:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00

Por fim, o conjunto de dois carateres na nona posição da saída (o início do terceiro ULONG) indica se o ficheiro foi criado por um processo em execução como instalador gerido. Um valor de "00" significa que o ficheiro foi escrito diretamente por um processo de instalação gerido e será executado se a política de Controlo de Aplicações confiar nos instaladores geridos.

0000: 01 00 00 00 00 00 00 00 0000 00 00 00 01 00 00 00 00

Se, em vez disso, o valor inicial do terceiro ULONG for "02", isso indica um "subordinado de subordinado". "Subordinado de menor" é definido em todos os ficheiros criados por algo que foi instalado por um instalador gerido. No entanto, o ficheiro foi criado depois de o instalador gerido concluir o seu trabalho. Portanto, este ficheiro não seria autorizado a ser executado, a menos que exista outra regra na sua política para o permitir.

Em casos mais raros, poderá ver outros valores nesta posição, mas também serão executados se a política confiar no instalador gerido.

Utilizar fsutil para consultar atributos expandidos para o Graph de Segurança Inteligente (ISG)

Quando um instalador é executado com boa reputação de acordo com o ISG, os ficheiros que o instalador escreve no disco herdam a reputação do instalador. Estes ficheiros com fidedignidade herdada ISG também terão o KERNEL. SMARTLOCKER. ORIGINCLAIM EA set conforme descrito acima para instaladores geridos. Pode identificar que o EA foi criado pelo ISG ao procurar o valor "01" na quinta posição da saída (o início do segundo ULONG) do fsutil:

0000: 01 00 00 00 01 00 00 00 00 00 00 00 00 01 00 00 00 00

Mais passos de resolução de problemas para o Managed Installer e o ISG

Tanto o instalador gerido como o ISG dependem do AppLocker para fornecer algumas funcionalidades. Utilize os seguintes passos para confirmar que o AppLocker está configurado e em execução corretamente.

  1. Verifique se os serviços do AppLocker estão em execução. A partir de uma janela elevada do PowerShell, execute o seguinte e confirme que STATE aparece como RUNNING para appidsvc e AppLockerFltr:

    sc.exe query appidsvc
        SERVICE_NAME: appidsvc
        TYPE               : 30  WIN32
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0
    sc.exe query AppLockerFltr
        SERVICE_NAME: applockerfltr
        TYPE               : 1  KERNEL_DRIVER
        STATE              : 4  RUNNING
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0
    

    Caso contrário, execute appidtel a partir da janela elevada do PowerShell e marcar novamente.

  2. Para o instalador gerido, marcar para AppCache.dat e outros *. Ficheiros AppLocker criados em %windir%\System32\AppLocker. Deve haver minimamente um ". Ficheiro AppLocker" criado para cada uma das coleções de regras EXE, DLL e MANAGEDINSTALLER. Se não vir estes ficheiros criados, avance para o passo seguinte para confirmar que a política do AppLocker foi aplicada corretamente.

  3. Para a resolução de problemas do instalador gerido, marcar que a política efetiva do AppLocker está correta. A partir de uma janela elevada do PowerShell:

    Get-AppLockerPolicy -Effective -XML > $env:USERPROFILE\Desktop\AppLocker.xml
    

    Em seguida, abra o ficheiro XML criado e confirme que contém as regras esperadas. Em particular, a política deve incluir, pelo menos, uma regra para cada exe, DLL e MANAGEDINSTALLER RuleCollections. As RuleCollections podem ser definidas como AuditOnly ou Ativadas. Além disso, as RuleCollections EXE e DLL têm de incluir a configuração RuleCollectionExtensions, conforme mostrado em Permitir automaticamente aplicações implementadas por um instalador gerido com o Controlo de Aplicações para Empresas.