Поделиться через

Тестирование и отладка политик добавления тегов AppId

Примечание.

Некоторые возможности управления приложениями в Защитнике Windows (WDAC) доступны только в определенных версиях Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

После развертывания политики тегов AppId WDAC WDAC зановит развернутое событие политики 3099 в журналы средства просмотра событий. Сначала убедитесь, что политика успешно развернута в системе, проверив наличие события 3099.

Проверка тегов в запущенных процессах

После проверки развертывания политики следующим шагом является проверка того, что в процессах приложения, которые вы планируете передать политику добавления тегов AppId, задан тег. Обратите внимание, что процессы, выполняемые во время развертывания политики, потребуется перезапустить, так как управление приложениями в Защитнике Windows (WDAC) может помечать только процессы, созданные после развертывания политики.

  1. Скачивание и установка отладчика Windows

    Приложение Microsoft WinDbg Preview можно скачать из Магазина и использовать для проверки тегов в запущенных процессах.

  2. Получение идентификатора процесса (PID) процесса, который проходит проверку

    С помощью диспетчера задач или эквивалентного средства мониторинга процессов найдите piD процесса, который вы хотите проверить. В приведенном ниже примере мы нашли piD для выполняемого процесса для Microsoft Edge, который должен иметь значение 2260. PiD будет использоваться на следующем шаге.

    Использование диспетчера задач для поиска идентификатора процесса — PID.

  3. Использование WinDbg для проверки процесса

    После открытия WinDbg. Выберите Файл, а затем Attach to Processвыберите процесс с PID, указанным на предыдущем шаге. Наконец, выберите Attach , чтобы подключиться к процессу.

    Подключитесь к процессу с помощью WinDbg.

    Наконец, в текстовом поле введите !token и нажмите клавишу ВВОД для дампа атрибутов безопасности процесса, включая POLICYAPPID:// , за которым следует ключ, заданный в политике, и соответствующее ему значение в поле Value[0].

    Дамп атрибутов безопасности в процессе с помощью WinDbg.