Compreendendo as tags de evento de controle de aplicativos
Windows Defender eventos WDAC (Controle de Aplicativo) incluem muitos campos, que fornecem informações úteis de solução de problemas para descobrir exatamente o que significa um evento. Este artigo descreve os valores e significados para algumas marcas de evento úteis.
SignatureType
Representa o tipo de assinatura que verificou a imagem.
| Valor SignatureType | Explicação |
|---|---|
| 0 | Não assinado ou a verificação não foi tentada |
| 1 | Assinatura inserida |
| 2 | Assinatura armazenada em cache; presença de um CI EA significa que o arquivo foi verificado anteriormente |
| 3 | Catálogo armazenado em cache verificado por meio do Banco de Dados de Catálogo ou catálogo de pesquisa diretamente |
| 4 | Catálogo não verificado por meio do Banco de Dados de Catálogo ou catálogo de pesquisa diretamente |
| 5 | Verificado com êxito usando um EA que informa a CI que o catálogo para tentar primeiro |
| 6 | Catálogo de pacotes AppX/MSIX verificado |
| 7 | O arquivo foi verificado |
Nível de assinatura solicitado e validado
Representa o nível de assinatura no qual o código foi verificado.
| Valor SigningLevel | Explicação |
|---|---|
| 0 | O nível de assinatura ainda não foi verificado |
| 1 | O arquivo não está assinado ou não tem nenhuma assinatura que passe pelas políticas ativas |
| 2 | Confiável por Windows Defender política de Controle de Aplicativo |
| 3 | Código assinado pelo desenvolvedor |
| 4 | Autenticação assinada |
| 5 | PPL do aplicativo assinado da Microsoft Store (Luz do Processo Protegido) |
| 6 | Microsoft Store assinado |
| 7 | Assinado por um fornecedor antimalware cujo produto está usando AMPPL |
| 8 | Microsoft assinada |
| 11 | Usado apenas para assinatura do compilador .NET NGEN |
| 12 | Windows assinado |
| 14 | Base de Computação Confiável do Windows assinada |
VerificationError
Representa por que a verificação falhou ou se foi bem-sucedida.
| Valor verificationError | Explicação |
|---|---|
| 0 | Assinatura verificada com êxito. |
| 1 | O arquivo tem um hash inválido. |
| 2 | O arquivo contém seções graváveis compartilhadas. |
| 3 | O arquivo não está assinado. |
| 4 | Assinatura revogada. |
| 5 | Assinatura expirada. |
| 6 | O arquivo é assinado usando um algoritmo de hash fraco, que não atende à política mínima. |
| 7 | Certificado raiz inválido. |
| 8 | A assinatura não pôde ser validada; erro genérico. |
| 9 | Tempo de assinatura não confiável. |
| 10 | O arquivo deve ser assinado usando hashes de página para esse cenário. |
| 11 | Incompatibilidade de hash de página. |
| 12 | Não é válido para um PPL (Luz de Processo Protegido). |
| 13 | Não é válido para um PP (Processo Protegido). |
| 14 | A assinatura está ausente do EKU do processador ARM necessário. |
| 15 | Marcar whql com falha. |
| 16 | Nível padrão de assinatura de política não atendido. |
| 17 | Nível de assinatura de política personalizado não atendido; retornado quando a assinatura não é validada em relação a um conjunto de certificados definido pelo SBCP. |
| 18 | Nível de assinatura personalizado não atendido; retornado se a assinatura não corresponder CISigners na UMCI. |
| 19 | O binário é revogado com base no hash do arquivo. |
| 20 | O carimbo de data/hora do hash de certificação SHA1 está ausente ou após o corte válido, conforme definido pela Política de Criptografia Fraca. |
| 21 | Falha ao passar Windows Defender política de Controle de Aplicativo. |
| 22 | IUM (modo de usuário não isolado)) assinado; indica uma tentativa de carregar um binário padrão do Windows em um trustlet de VBS (segurança baseada em virtualização). |
| 23 | Hash de imagem inválido. Esse erro pode indicar corrupção de arquivo ou um problema com a assinatura do arquivo. Assinaturas usando criptografia de curva elíptica (ECC), como a ECDSA, retornam esse VerificationError. |
| 24 | Raiz de voo não permitida; indica a tentativa de executar o código assinado por voo no sistema operacional de produção. |
| 25 | Violação da política anti-fraude. |
| 26 | Negado explicitamente pela política WADC. |
| 27 | A cadeia de assinatura parece estar adulterada/inválida. |
| 28 | Incompatibilidade de hash da página de recursos. |
Opções de evento de ativação de política
Os valores de opção de regra de controle de aplicativo podem ser derivados do campo "Opções" na seção Detalhes para eventos de ativação de política bem-sucedidos. Para analisar os valores, primeiro converta o valor hex em binário. Para derivar e analisar esses valores, siga o fluxo de trabalho abaixo.
- Acesse Visualizador de Eventos.
- Acesse o evento Integridade do código 3099.
- Acesse o painel de detalhes.
- Identifique o código hex listado no campo "Opções".
- Converta o código hex em binário.
Para uma solução simples para converter hex em binário, siga estas etapas:
- Abra o aplicativo Calculadora.
- Selecione o ícone de menu.
- Selecione Modo programador .
- Selecione HEX.
- Insira seu código hex. Por exemplo,
80881000. - Alterne para o Teclado de Agregação de Bits.
Essa exibição fornece o código hex no formulário binário, com cada endereço bit mostrado separadamente. Os endereços de bit começam em 0 no canto inferior direito. Cada endereço de bit correlaciona-se a uma opção específica de política de evento-regra. Se o endereço bit tiver um valor de 1, a configuração estará na política.
Em seguida, use os endereços bit e seus valores da tabela a seguir para determinar o estado de cada regra-opção de política. Por exemplo, se o endereço bit de 16 tiver um valor de 1, a opção Habilitado: Modo de Auditoria (Padrão) estará na política. Essa configuração significa que a política está no modo de auditoria.
| Endereço bit | Opção Regra de Política |
|---|---|
| 2 | Enabled:UMCI |
| 3 | Enabled:Boot Menu Protection |
| 4 | Enabled:Intelligent Security Graph Authorization |
| 5 | Enabled:Invalidate EAs on Reboot |
| 7 | Required:WHQL |
| 10 | Enabled:Allow Supplemental Policies |
| 11 | Disabled:Runtime FilePath Rule Protection |
| 13 | Enabled:Revoked Expired As Unsigned |
| 16 | Enabled:Audit Mode (Default) |
| 17 | Disabled:Flight Signing |
| 18 | Enabled:Inherit Default Policy |
| 19 | Enabled:Unsigned System Integrity Policy (Default) |
| 20 | Enabled:Dynamic Code Security |
| 21 | Required:EV Signers |
| 22 | Enabled:Boot Audit on Failure |
| 23 | Enabled:Advanced Boot Options Menu |
| 24 | Disabled:Script Enforcement |
| 25 | Required:Enforce Store Applications |
| 27 | Enabled:Managed Installer |
| 28 | Enabled:Update Policy No Reboot |
CAs raiz da Microsoft confiáveis pelo Windows
A regra significa confiar em qualquer coisa assinada por um certificado que se conecte a essa AC raiz.
| ID raiz | Nome raiz |
|---|---|
| 0 | Nenhum |
| 1 | Desconhecido |
| 2 | Self-Signed |
| 3 | Autoridade Raiz do Microsoft Authenticode(tm) |
| 4 | Microsoft Product Root 1997 |
| 5 | Microsoft Product Root 2001 |
| 6 | Microsoft Product Root 2010 |
| 7 | Microsoft Standard Root 2011 |
| 8 | Raiz de verificação de código da Microsoft 2006 |
| 9 | Microsoft Test Root 1999 |
| 10 | Microsoft Test Root 2010 |
| 11 | Raiz de teste do Microsoft DMD 2005 |
| 12 | Microsoft DMDRoot 2005 |
| 13 | Microsoft DMD Preview Root 2005 |
| 14 | Microsoft Flight Root 2014 |
| 15 | Raiz do Marketplace de Terceiros da Microsoft |
| 16 | Microsoft ECC Testing Root CA 2017 |
| 17 | Microsoft ECC Development Root CA 2018 |
| 18 | Microsoft ECC Product Root CA 2018 |
| 19 | Microsoft ECC Devices Root CA 2017 |
Para raízes conhecidas, os hashes TBS para os certificados são assados no código para Windows Defender Controle de Aplicativo. Por exemplo, eles não precisam ser listados como hashes TBS no arquivo de política.
Valores de status
Representa valores usados para comunicar informações do sistema. Eles são de quatro tipos: valores de sucesso, valores de informações, valores de aviso e valores de erro. Consulte NTSATUS para obter informações sobre detalhes comuns de uso.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de