测试和调试 AppId 标记策略

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender 应用程序控制 (WDAC) 的某些功能仅在特定 Windows 版本上可用。 详细了解 Windows Defender 应用程序控制功能可用性。

部署 WDAC AppId 标记策略后，WDAC 将在 事件查看器日志中记录 3099 策略部署事件。 首先，应通过验证是否存在 3099 事件，确保策略已成功部署到系统。

验证正在运行的进程上的标记

验证策略是否已部署后，下一步是验证预期通过 AppId 标记策略的应用程序进程是否设置了标记。 请注意，在策略部署时运行的进程需要重启，因为 Windows Defender 应用程序控制 (WDAC) 只能标记部署策略后创建的进程。

1. 下载并安装 Windows 调试器

   Microsoft 的 WinDbg 预览版应用程序 可以从应用商店下载，并用于验证正在运行的进程上的标记。

2. 获取验证中进程的进程 ID (PID)

   使用任务管理器或等效的进程监视工具，找到要检查的进程 PID。 在下面的示例中，我们已将 Microsoft Edge 正在运行的进程 PID 定位为 2260。 下一步将使用 PID。

   

3. 使用 WinDbg 检查进程

   打开 WinDbg 后。 选择“文件”，然后选择 Attach to Process在前面的步骤中标识了 PID 的进程。 最后，选择 Attach 连接到进程。

   

   最后，在文本框中，键入 !token 并按 Enter 键转储进程上的安全属性，包括 POLICYAPPID:// 后跟在策略中设置的键，以及 Value[0] 字段中的相应值。