Понимание событий Application Control
Обзор событий WDAC
WDAC регистрирует события при загрузке политики, при блокировке файла или при блокировке файла в режиме аудита. Эти события блока содержат сведения, которые идентифицируют политику и предоставляют дополнительные сведения о блоке. WDAC не создает события, если двоичный файл разрешен. Однако можно включить разрешить события аудита для файлов, авторизованных управляемым установщиком или интеллектуальной диаграммой безопасности (ISG), как описано далее в этой статье.
Журналы событий Core WDAC
События WDAC создаются в двух расположениях в Просмотр событий Windows:
- Журналы приложений и служб — Microsoft — Windows — CodeIntegrity — Операционные включают события, связанные с активацией политики управления приложениями и управлением исполняемыми файлами, библиотеками DLL и драйверами.
- Журналы приложений и служб — Microsoft — Windows — AppLocker — MSI и Script включают события об управлении установщиками MSI, скриптами и COM-объектами.
Большинство сбоев приложений и скриптов, возникающих при активной работе WDAC, можно диагностировать с помощью этих двух журналов событий. В этой статье подробно описаны события, которые существуют в этих журналах. Чтобы понять значение различных элементов данных или тегов, найденных в подробных сведениях об этих событиях, см. раздел Общие сведения о тегах событий управления приложениями.
Примечание.
Журналы приложений и служб — Microsoft — Windows — AppLocker — события MSI и скриптов не включены в выпуск Windows Server Core.
События блокировки WDAC для исполняемых файлов, библиотек DLL и драйверов
Эти события находятся в журнале событий CodeIntegrity — Operational .
| Код события | Объяснение |
|---|---|
| 3004 | Это событие не является распространенным и может возникать с политикой управления приложениями или без нее. Обычно это означает, что драйвер ядра пытался загрузить с недопустимой сигнатурой. Например, файл может быть не подписан на WHQL в системе, где требуется WHQL. Это событие также отображается для кода в режиме ядра или пользовательского режима, который разработчик согласился на /INTEGRITYCHECK, но подписан неправильно. |
| 3033 | Это событие может возникать с политикой управления приложениями или без нее и должно возникать вместе с событием 3077, если оно вызвано политикой WDAC. Часто это означает, что подпись файла отменяется или истек срок действия подписи с EKU для подписи времени существования. Наличие EKU для подписи времени существования является единственным случаем, когда WDAC блокирует файлы из-за истечения срока действия сигнатуры. Попробуйте использовать параметр 20 Enabled:Revoked Expired As Unsigned в политике вместе с правилом (например, хэш), которое не зависит от отозванного или просроченного сертификата.Это событие также возникает, если код, скомпилированный с помощью Code Integrity Guard (CIG), пытается загрузить другой код, который не соответствует требованиям CIG. |
| 3034 | Это событие не является распространенным. Это режим аудита, эквивалентный событию 3033. |
| 3076 | Это событие является событием блока управления приложениями main для политик режима аудита. Это означает, что файл был бы заблокирован, если бы политика была применена. |
| 3077 | Это событие является событием блока управления приложениями main для принудительных политик. Это означает, что файл не прошел политику и был заблокирован. |
| 3089 | Это событие содержит сведения о сигнатуре для файлов, которые были заблокированы или аудит заблокированы элементом управления приложениями. Одно из этих событий создается для каждой сигнатуры файла. Каждое событие показывает общее количество найденных сигнатур и значение индекса для идентификации текущей сигнатуры. Неподписанные файлы создают одно из этих событий с TotalSignatureCount 0. Эти события связаны с событиями 3004, 3033, 3034, 3076 и 3077. События можно сопоставить с помощью Correlation ActivityID элемента , найденного в системной части события. |
События блокировки WDAC для упакованных приложений, установщиков MSI, скриптов и COM-объектов
Эти события находятся в журнале событий AppLocker — MSI и Script .
| Код события | Объяснение |
|---|---|
| 8028 | Это событие указывает на то, что узел скриптов, например PowerShell, запросил управление приложениями о файле, на котором собирался запустить узел скрипта. Так как политика находилась в режиме аудита, скрипт или MSI-файл должен был выполняться, но не прошел бы политику WDAC, если бы она была применена. Некоторые узлы скриптов могут содержать дополнительные сведения в журналах. Примечание. Большинство сторонних узлов скриптов не интегрируются с элементом управления приложениями. Учитывайте риски, связанные с непроверенными скриптами, при выборе узлов сценариев, которые разрешено запускать. |
| 8029 | Это событие является режимом принудительного применения, эквивалентным событию 8028. Примечание. Хотя это событие говорит о том, что скрипт был заблокирован, узлы скриптов управляют фактическим поведением принудительного применения скрипта. Узел скрипта может разрешить запуск файла с ограничениями и не блокировать файл напрямую. Например, PowerShell выполняет скрипт, не разрешенный политикой WDAC в режиме ограниченного языка. |
| 8036 | COM-объект заблокирован. Дополнительные сведения об авторизации com-объектов см. в статье Разрешение регистрации com-объектов в политике управления приложениями Защитник Windows. |
| 8037 | Это событие указывает, что узел скрипта проверил, разрешено ли выполнение скрипта, и файл передал политику WDAC. |
| 8038 | Событие сведений о подписи коррелирует с событием 8028 или 8029. Для каждой сигнатуры файла скрипта создается одно событие 8038. Содержит общее количество подписей в файле скрипта и индекс, указывающий на то, какая это подпись. Неподписанные файлы скриптов создают одно событие 8038 с TotalSignatureCount 0. Эти события коррелируются с событиями 8028 и 8029 и могут быть сопоставлены с помощью Correlation ActivityID элемента , найденного в системной части события. |
| 8039 | Это событие указывает, что упаковаированное приложение (MSIX/AppX) было разрешено установить или запустить, так как политика WDAC находится в режиме аудита. Но если бы политика была применена, она была бы заблокирована. |
| 8040 | Это событие указывает на то, что упаковаемое приложение было запрещено установить или запустить из-за политики WDAC. |
События активации политики WDAC
Эти события находятся в журнале событий CodeIntegrity — Operational .
| Код события | Объяснение |
|---|---|
| 3095 | Политику управления приложениями невозможно обновить, вместо нее ее необходимо перезагрузить. |
| 3096 | Политика управления приложениями не была обновлена, так как она уже обновлена. Сведения этого события содержат полезные сведения о политике, например ее параметры политики. |
| 3097 | Не удается обновить политику управления приложениями. |
| 3099 | Указывает, что политика загружена. Сведения этого события содержат полезные сведения о политике управления приложениями, такие как ее параметры политики. |
| 3100 | Политика управления приложениями была обновлена, но не была активирована. Повторить. |
| 3101 | Для N политик запущено обновление политики управления приложениями. |
| 3102 | Обновление политики управления приложениями завершено для N политик. |
| 3103 | Система игнорирует обновление политики управления приложениями. Например, политика windows для папки "Входящие", которая не соответствует условиям активации. |
| 3105 | Система пытается обновить политику управления приложениями с указанным идентификатором. |
Диагностические события для Intelligent Security Graph (ISG) и Управляемого установщика (MI)
Примечание.
Если управляемый установщик включен, клиенты, использующие LogAnalytics, должны знать, что управляемый установщик может вызывать множество событий 3091. Клиентам может потребоваться отфильтровать эти события, чтобы избежать высоких затрат на LogAnalytics.
Следующие события предоставляют полезные диагностические сведения, если политика WDAC включает параметр ISG или MI. Эти события помогут вам отладить причины, по которым что-то было разрешено или запрещено на основе управляемого установщика или isG. События 3090, 3091 и 3092 не обязательно указывают на проблему, но их следует рассматривать в контексте с другими событиями, такими как 3076 или 3077.
Если не указано иное, эти события находятся в журнале событий CodeIntegrity — Operational или в журнале событий CodeIntegrity — Verbose в зависимости от версии Windows.
| Код события | Объяснение |
|---|---|
| 3090 | Дополнительные Это событие указывает на то, что файлу было разрешено запускаться исключительно на основе ISG или управляемого установщика. |
| 3091 | Это событие указывает на то, что в файле не было авторизации ISG или управляемого установщика, а политика управления приложениями находится в режиме аудита. |
| 3092 | Это событие является режимом принудительного применения, эквивалентным 3091. |
| 8002 | Это событие находится в журнале событий AppLocker — EXE и DLL . При запуске процесса, соответствующего правилу управляемого установщика, это событие вызывается с параметром PolicyName = MANAGEDINSTALLER, найденным в событии Details. События с PolicyName = EXE или DLL не связаны с WDAC. |
События 3090, 3091 и 3092 сообщаются для каждой активной политики в системе, поэтому для одного файла может отображаться несколько событий.
Сведения о событии диагностики ISG и MI
Ниже приведены сведения о событиях 3090, 3091 и 3092.
| Имя | Объяснение |
|---|---|
| ManagedInstallerEnabled | Указывает, включает ли указанная политика доверие управляемого установщика. |
| PassesManagedInstaller | Указывает, был ли файл получен из mi-экземпляра. |
| SmartlockerEnabled | Указывает, включает ли указанная политика доверие ISG. |
| PassesSmartlocker | Указывает, имеет ли файл положительную репутацию в соответствии с ISG. |
| AuditEnabled | Значение true, если политика управления приложениями находится в режиме аудита, в противном случае она находится в режиме принудительного применения. |
| PolicyName | Имя политики управления приложениями, к которой применяется событие |
Включение событий диагностики ISG и MI
Чтобы включить разрешенные события 3090, создайте ключ реестра TestFlags со значением 0x300, как показано в следующей команде PowerShell. Затем перезагрузите компьютер.
reg add hklm\system\currentcontrolset\control\ci -v TestFlags -t REG_DWORD -d 0x300
События 3091 и 3092 неактивны в некоторых версиях Windows и включены предыдущей командой.
Приложение
Список других соответствующих идентификаторов событий и их соответствующее описание.
| Код события | Описание |
|---|---|
| 3001 | В системе была предпринята попытка загрузить неподписанный драйвер. |
| 3002 | Не удалось проверить загрузочный образ кода, так как не удалось найти хэш страницы. |
| 3004 | Не удалось проверить файл целостности кода, так как не удалось найти хэш страницы. |
| 3010 | Недопустимый каталог, содержащий сигнатуру для проверяемого файла. |
| 3011 | Целостность кода завершена загрузка каталога сигнатур. |
| 3012 | Целостность кода начала загрузку каталога сигнатур. |
| 3023 | Файл драйвера, который проходит проверку, не соответствует требованиям для передачи политики управления приложениями. |
| 3024 | Элементу управления приложенияМи Windows не удалось обновить файл каталога загрузки. |
| 3026 | Корпорация Майкрософт или центр выдачи сертификатов отозвал сертификат, подписав каталог. |
| 3032 | Файл, на который выполняется проверка, отменяется или у него есть подпись, которая отозвана. |
| 3033 | Файл, на который выполняется проверка, не соответствует требованиям для передачи политики управления приложениями. |
| 3034 | Файл, проходящий проверку, не соответствует требованиям для передачи политики управления приложениями, если она была применена. Файл был разрешен, так как политика находится в режиме аудита. |
| 3036 | Корпорация Майкрософт или центр выдачи сертификата отозвал сертификат, подписав проверяемый файл. |
| 3064 | Если политика управления приложениями была применена, то проверяемая библиотека DLL пользовательского режима не будет соответствовать требованиям для передачи политики управления приложениями. Библиотека DLL была разрешена, так как политика находится в режиме аудита. |
| 3065 | Если политика управления приложениями была применена, то проверяемая библиотека DLL пользовательского режима не будет соответствовать требованиям для передачи политики управления приложениями. |
| 3074 | Сбой хэша страницы при включенной целостности кода, защищенной гипервизором. |
| 3075 | Это событие измеряет производительность политики управления приложениями, проверка во время проверки файла. |
| 3076 | Это событие является событием блока управления приложениями main для политик режима аудита. Это означает, что файл был бы заблокирован, если бы политика была применена. |
| 3077 | Это событие является событием блока управления приложениями main для принудительных политик. Это означает, что файл не прошел политику и был заблокирован. |
| 3079 | Файл, на который выполняется проверка, не соответствует требованиям для передачи политики управления приложениями. |
| 3080 | Если бы политика управления приложениями находилась в принудительном режиме, проверяемая файл не соответствовала бы требованиям для передачи политики управления приложениями. |
| 3081 | Файл, на который выполняется проверка, не соответствует требованиям для передачи политики управления приложениями. |
| 3082 | Если бы политика управления приложениями была применена, политика заблокировала бы этот драйвер, отличный от WHQL. |
| 3084 | Целостность кода применяет требования к подписи драйверов WHQL в этом сеансе загрузки. |
| 3085 | Целостность кода не применяет требования к подписывание драйвера WHQL в этом сеансе загрузки. |
| 3086 | Файл, на который выполняется проверка, не соответствует требованиям подписывания для процесса изолированного пользовательского режима (IUM). |
| 3089 | Это событие содержит сведения о сигнатуре для файлов, которые были заблокированы или аудит заблокированы элементом управления приложениями. Для каждой сигнатуры файла создается одно событие 3089. |
| 3090 | Дополнительные Это событие указывает на то, что файлу было разрешено запускаться исключительно на основе ISG или управляемого установщика. |
| 3091 | Это событие указывает на то, что в файле не было авторизации ISG или управляемого установщика, а политика управления приложениями находится в режиме аудита. |
| 3092 | Это событие является режимом принудительного применения, эквивалентным 3091. |
| 3095 | Политику управления приложениями невозможно обновить, вместо нее ее необходимо перезагрузить. |
| 3096 | Политика управления приложениями не была обновлена, так как она уже обновлена. |
| 3097 | Не удается обновить политику управления приложениями. |
| 3099 | Указывает, что политика загружена. Это событие также содержит сведения о параметрах, заданных политикой управления приложениями. |
| 3100 | Политика управления приложениями была обновлена, но не была активирована. Повторить. |
| 3101 | Система начала обновление политики управления приложениями. |
| 3102 | Система завершила обновление политики управления приложениями. |
| 3103 | Система игнорирует обновление политики управления приложениями. |
| 3104 | Файл, на который выполняется проверка, не соответствует требованиям к подписи для процесса PPL (защищенный процесс light). |
| 3105 | Система пытается обновить политику управления приложениями. |
| 3108 | Событие изменения режима Windows прошло успешно. |
| 3110 | Событие изменения режима Windows завершилось неудачно. |
| 3111 | Файл, который проходит проверку, не соответствует политике целостности кода, защищенной гипервизором (HVCI). |
| 3112 | Windows отозвала сертификат, подписав проверяемый файл. |
| 3114 | Служба "Безопасность динамического кода" выбрала приложение .NET или БИБЛИОТЕКу DLL для проверки политики управления приложениями. Файл, проходящий проверку, не прошел политику и был заблокирован. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по