Compreendendo as tags de evento de controle de aplicativos
Os eventos do Controlo de Aplicações do Windows Defender (WDAC) incluem muitos campos, que fornecem informações de resolução de problemas úteis para descobrir exatamente o que significa um evento. Este artigo descreve os valores e significados de algumas etiquetas de evento úteis.
SignatureType
Representa o tipo de assinatura que verificou a imagem.
| Valor SignatureType | Explicação |
|---|---|
| 0 | Não foi tentada a verificação ou não foi tentada |
| 1 | Assinatura incorporada |
| 2 | Assinatura em cache; presença de um CI EA significa que o ficheiro foi verificado anteriormente |
| 3 | Catálogo em cache verificado através da Base de Dados do Catálogo ou pesquisa direta do catálogo |
| 4 | Catálogo não pesquisado verificado através da Base de Dados do Catálogo ou pesquisa direta do catálogo |
| 5 | Verificado com êxito através de um EA que informa a CI de que o catálogo deve tentar primeiro |
| 6 | Catálogo de pacotes AppX/MSIX verificado |
| 7 | O ficheiro foi verificado |
Nível de Assinatura Pedido e Validado
Representa o nível de assinatura no qual o código foi verificado.
| Valor SigningLevel | Explicação |
|---|---|
| 0 | O nível de assinatura ainda não foi verificado |
| 1 | O ficheiro não está assinado ou não tem nenhuma assinatura que transmita as políticas ativas |
| 2 | Política de Controlo de Aplicações do Windows Defender fidedigna |
| 3 | Código assinado pelo programador |
| 4 | Autenticação assinada |
| 5 | PPL da aplicação assinada da Microsoft Store (Luz do Processo Protegido) |
| 6 | Com assinatura na Microsoft Store |
| 7 | Assinado por um fornecedor antimalware cujo produto está a utilizar a AMPPL |
| 8 | A Microsoft assinou |
| 11 | Utilizado apenas para assinatura do compilador .NET NGEN |
| 12 | Com sessão iniciada no Windows |
| 14 | Base de Computação Fidedigna do Windows assinada |
VerificationError
Representa a razão pela qual a verificação falhou ou se foi bem-sucedida.
| VerificationError Value | Explicação |
|---|---|
| 0 | Assinatura verificada com êxito. |
| 1 | O ficheiro tem um hash inválido. |
| 2 | O ficheiro contém secções graváveis partilhadas. |
| 3 | O ficheiro não está assinado. |
| 4 | Assinatura revogada. |
| 5 | Assinatura expirada. |
| 6 | O ficheiro é assinado com um algoritmo de hash fraco, que não cumpre a política mínima. |
| 7 | Certificado de raiz inválido. |
| 8 | Não foi possível validar a assinatura; erro genérico. |
| 9 | A hora de assinatura não é fidedigna. |
| 10 | O ficheiro tem de ser assinado com hashes de página para este cenário. |
| 11 | Erro de correspondência do hash de página. |
| 12 | Não é válido para um PPL (Luz de Processo Protegido). |
| 13 | Não é válido para um PP (Processo Protegido). |
| 14 | Falta a assinatura do EKU do processador ARM necessário. |
| 15 | Falha na verificação WHQL. |
| 16 | Nível de assinatura de política predefinido não cumprido. |
| 17 | Nível de assinatura de política personalizada não cumprido; devolvido quando a assinatura não é validada relativamente a um conjunto de certificados definido por SBCP. |
| 18 | Nível de assinatura personalizado não cumprido; devolvido se a assinatura não corresponder CISigners no UMCI. |
| 19 | O binário é revogado com base no respetivo hash de ficheiro. |
| 20 | O carimbo de data/hora do hash de certificado SHA1 está em falta ou após um corte válido, conforme definido pela Política Criptográfica Fraca. |
| 21 | Falha ao transmitir a política de Controlo de Aplicações do Windows Defender. |
| 22 | Modo de Utilizador Não Isolado (IUM)) assinado; indica uma tentativa de carregar um binário padrão do Windows para uma fidedignidade de segurança baseada em virtualização (VBS). |
| 23 | Hash de imagem inválido. Este erro pode indicar danos nos ficheiros ou um problema com a assinatura do ficheiro. As assinaturas que utilizam a criptografia de curva elíptica (ECC), como a ECDSA, devolvem este VerificationError. |
| 24 | Raiz de voo não permitida; indica que está a tentar executar código assinado por voo no SO de produção. |
| 25 | Violação da política anti-fraude. |
| 26 | Explicitamente negado pela política WADC. |
| 27 | A cadeia de assinatura parece ser adulterada/inválida. |
| 28 | Erro de correspondência do hash da página de recursos. |
Opções de eventos de ativação de políticas
Os valores da opção de regra de política de Controlo de Aplicações podem derivar do campo "Opções" na secção Detalhes para eventos de ativação de políticas com êxito. Para analisar os valores, converta primeiro o valor hexadecim em binário. Para derivar e analisar estes valores, siga o fluxo de trabalho abaixo.
- Aceder ao Visualizador de Eventos.
- Aceda ao evento Integridade do Código 3099.
- Aceda ao painel de detalhes.
- Identifique o código hexadecima listado no campo "Opções".
- Converta o código hexadecimal em binário.
Para obter uma solução simples para converter hexadecimos em binário, siga estes passos:
- Abra a aplicação Calculadora.
- Selecione o ícone de menu.
- Selecione Modo de programador .
- Selecione HEX.
- Introduza o seu código hexadecimal. Por exemplo,
80881000. - Mude para o Teclado De Alternar Bits.
Esta vista fornece o código hexadecimal na forma binária, com cada endereço de bits apresentado separadamente. Os endereços de bits começam em 0 no canto inferior direito. Cada endereço de bit está correlacionado com uma opção de regra de política de eventos específica. Se o endereço de bits tiver um valor de 1, a definição estará na política.
Em seguida, utilize os endereços de bits e os respetivos valores da tabela seguinte para determinar o estado de cada opção de regra de política. Por exemplo, se o endereço de bit de 16 tiver um valor de 1, a opção Ativado: Modo de Auditoria (Predefinição) está na política. Esta definição significa que a política está no modo de auditoria.
| Endereço bit | Opção de Regra de Política |
|---|---|
| 2 | Enabled:UMCI |
| 3 | Enabled:Boot Menu Protection |
| 4 | Enabled:Intelligent Security Graph Authorization |
| 5 | Enabled:Invalidate EAs on Reboot |
| 7 | Required:WHQL |
| 10 | Enabled:Allow Supplemental Policies |
| 11 | Disabled:Runtime FilePath Rule Protection |
| 13 | Enabled:Revoked Expired As Unsigned |
| 16 | Enabled:Audit Mode (Default) |
| 17 | Disabled:Flight Signing |
| 18 | Enabled:Inherit Default Policy |
| 19 | Enabled:Unsigned System Integrity Policy (Default) |
| 20 | Enabled:Dynamic Code Security |
| 21 | Required:EV Signers |
| 22 | Enabled:Boot Audit on Failure |
| 23 | Enabled:Advanced Boot Options Menu |
| 24 | Disabled:Script Enforcement |
| 25 | Required:Enforce Store Applications |
| 27 | Enabled:Managed Installer |
| 28 | Enabled:Update Policy No Reboot |
As ACs de Raiz da Microsoft fidedignas pelo Windows
A regra significa confiar em qualquer coisa assinada por um certificado que encorrenda a esta AC de raiz.
| ID de raiz | Nome da Raiz |
|---|---|
| 0 | Nenhum |
| 1 | Desconhecido |
| 2 | Self-Signed |
| 3 | Autoridade de Raiz do Microsoft Authenticode(tm) |
| 4 | Microsoft Product Root 1997 |
| 5 | Microsoft Product Root 2001 |
| 6 | Microsoft Product Root 2010 |
| 7 | Microsoft Standard Root 2011 |
| 8 | Microsoft Code Verification Root 2006 |
| 9 | Microsoft Test Root 1999 |
| 10 | Microsoft Test Root 2010 |
| 11 | Microsoft DMD Test Root 2005 |
| 12 | Microsoft DMDRoot 2005 |
| 13 | Microsoft DMD Preview Root 2005 |
| 14 | Microsoft Flight Root 2014 |
| 15 | Raiz do Marketplace de Terceiros da Microsoft |
| 16 | Microsoft ECC Testing Root CA 2017 |
| 17 | Microsoft ECC Development Root CA 2018 |
| 18 | Microsoft ECC Product Root CA 2018 |
| 19 | Microsoft ECC Devices Root CA 2017 |
Para raízes bem conhecidas, os hashes TBS dos certificados são integrados no código para o Controlo de Aplicações do Windows Defender. Por exemplo, não precisam de ser listados como hashes TBS no ficheiro de política.
Valores de estado
Representa valores que são utilizados para comunicar informações do sistema. São de quatro tipos: valores de êxito, valores de informação, valores de aviso e valores de erro. Veja NTSATUS para obter informações sobre os detalhes de utilização comuns.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de