Технический справочник по управляемому установщику и ISG, а также руководство по устранению неполадок

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Примечание.

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Дополнительные сведения о доступности функций управления приложениями.

Включение событий ведения журнала управляемого установщика и графа интеллектуальной безопасности (ISG)

Сведения о включении необязательных диагностических событий управляемого установщика см. в статье Общие сведения о событиях управления приложениями .

Использование fsutil для запроса расширенных атрибутов для управляемого установщика (MI)

Клиенты, использующие управление приложениями Защитник Windows (WDAC) с включенным управляемым установщиком (MI), могут использовать fsutil.exe, чтобы определить, был ли файл создан процессом управляемого установщика. Эта проверка выполняется путем запроса расширенных атрибутов (EAs) в файле с помощью fsutil.exe и поиска ядра. SMARTLOCKER. ORIGINCLAIM EA. Затем можно использовать данные из первой строки выходных данных, чтобы определить, был ли файл создан управляемым установщиком. Например, рассмотрим выходные данные fsutil.exe для файла с именем application.exe:

Пример.

fsutil.exe file queryEA C:\Users\Temp\Downloads\application.exe

Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:

Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e

В приведенных выше выходных данных найдите первую строку данных с меткой "0000:", за которой следуют 16 наборов двух символов. Каждые четыре набора образуют группу, известную как ULONG. Набор двух символов в передней части первого ULONG всегда будет иметь значение "01", как показано ниже:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00

Если в пятой позиции выходных данных (начало второго ULONG) есть значение "00", это означает, что EA связан с управляемым установщиком:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00

Наконец, набор двух символов в девятой позиции выходных данных (начало третьего ULONG) указывает, был ли файл создан процессом, запущенным в качестве управляемого установщика. Значение "00" означает, что файл был непосредственно записан процессом управляемого установщика и будет запущен, если политика WDAC доверяет управляемым установщикам.

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00

Если вместо этого начальное значение для третьего ULONG — "02", то это указывает на "дочерний дочерний". "Дочерний дочерний" задается для всех файлов, созданных объектом, установленным управляемым установщиком. Но файл был создан после завершения работы управляемого установщика. Таким образом, этот файл не будет разрешен к запуску, если в вашей политике нет другого правила, разрешая его.

В редких случаях в этой позиции могут отображаться другие значения, но они также будут выполняться, если ваша политика доверяет управляемому установщику.

Использование fsutil для запроса расширенных атрибутов для Intelligent Security Graph (ISG)

При запуске установщика с хорошей репутацией в соответствии с ISG файлы, записываемые установщиком на диск, наследуют репутацию от установщика. Эти файлы с наследуемым доверием ISG также будут иметь kernel. SMARTLOCKER. ORIGINCLAIM EA задайте, как описано выше для управляемых установщиков. Вы можете определить, что ea был создан ISG, найдите значение "01" в пятой позиции выходных данных (начало второго ULONG) из fsutil:

0000: 01 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00

Дополнительные действия по устранению неполадок для управляемого установщика и ISG

И управляемый установщик, и ISG зависят от AppLocker для предоставления некоторых функциональных возможностей. Выполните следующие действия, чтобы убедиться, что AppLocker настроен и работает правильно.

1. Убедитесь, что службы AppLocker запущены. В окне PowerShell с повышенными привилегиями выполните следующую команду и убедитесь, что state отображается как RUNNING для appidsvc и AppLockerFltr:

   sc.exe query appidsvc
       SERVICE_NAME: appidsvc
       TYPE               : 30  WIN32
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   sc.exe query AppLockerFltr
       SERVICE_NAME: applockerfltr
       TYPE               : 1  KERNEL_DRIVER
       STATE              : 4  RUNNING
                               (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
       WIN32_EXIT_CODE    : 0  (0x0)
       SERVICE_EXIT_CODE  : 0  (0x0)
       CHECKPOINT         : 0x0
       WAIT_HINT          : 0x0
   

   Если нет, выполните appidtel start из окна PowerShell с повышенными привилегиями и проверка снова.

2. Для управляемого установщика проверка для AppCache.dat и других *. Файлы AppLocker, созданные в папке %windir%\System32\AppLocker. Должно быть минимальное значение . Файл AppLocker", созданный для каждой коллекции правил EXE, DLL и MANAGEDINSTALLER. Если эти файлы не созданы, перейдите к следующему шагу, чтобы убедиться, что политика AppLocker применена правильно.

3. Для устранения неполадок с управляемым установщиком проверка, что действующая политика AppLocker верна. В окне PowerShell с повышенными привилегиями:

   Get-AppLockerPolicy -Effective -XML > $env:USERPROFILE\Desktop\AppLocker.xml
   

   Затем откройте созданный XML-файл и убедитесь, что он содержит ожидаемые правила. В частности, политика должна включать по крайней мере одно правило для каждого набора правил EXE, DLL и MANAGEDINSTALLER RuleCollections. Для параметра RuleCollections можно задать значение AuditOnly или Включено. Кроме того, exe и DLL RuleCollections должны включать конфигурацию RuleCollectionExtensions, как показано в разделе Автоматическое разрешение приложений, развернутых управляемым установщиком с Защитник Windows Application Control.