Ereignis-Tags der Anwendungssteuerung verstehen
WDAC-Ereignisse (Windows Defender Application Control) enthalten viele Felder, die hilfreiche Informationen zur Problembehandlung bereitstellen, um genau herauszufinden, was ein Ereignis bedeutet. In diesem Artikel werden die Werte und Bedeutungen für einige nützliche Ereignistags beschrieben.
SignatureType
Stellt den Signaturtyp dar, der das Image überprüft hat.
SignatureType-Wert | Erläuterung |
---|---|
0 | Unsigned or verification hasn't be versuchst |
1 | Eingebettete Signatur |
2 | Zwischengespeicherte Signatur; Das Vorhandensein eines CI EA bedeutet, dass die Datei zuvor überprüft wurde. |
3 | Zwischengespeicherter Katalog, der über die Katalogdatenbank oder direkt durchsucht wird |
4 | Nicht zwischengespeicherter Katalog, der über die Katalogdatenbank oder direkt durchsucht wird |
5 | Erfolgreich überprüft mit einem EA, der CI informiert, dass der Katalog zuerst versucht werden soll |
6 | AppX/MSIX-Paketkatalog überprüft |
7 | Datei wurde überprüft |
Angeforderte und überprüfte Signaturstufe
Stellt die Signaturebene dar, auf der der Code überprüft wurde.
SigningLevel-Wert | Erläuterung |
---|---|
0 | Die Signaturstufe wurde noch nicht überprüft. |
1 | Die Datei ist nicht signiert oder hat keine Signatur, die die aktiven Richtlinien übergibt. |
2 | Vertrauenswürdig durch Windows Defender-Anwendungssteuerungsrichtlinie |
3 | Vom Entwickler signierter Code |
4 | Authenticode signiert |
5 | Microsoft Store signierte App PPL (Protected Process Light) |
6 | Microsoft Store-signiert |
7 | Signiert von einem Antischadsoftwareanbieter, dessen Produkt AMPPL verwendet |
8 | Von Microsoft signiert |
11 | Wird nur zum Signieren des .NET NGEN-Compilers verwendet. |
12 | Windows signiert |
14 | Windows Trusted Computing Base signiert |
VerificationError
Gibt an, warum die Überprüfung fehlgeschlagen ist oder ob sie erfolgreich war.
VerificationError-Wert | Erläuterung |
---|---|
0 | Die Signatur wurde erfolgreich überprüft. |
1 | Die Datei weist einen ungültigen Hash auf. |
2 | Die Datei enthält freigegebene beschreibbare Abschnitte. |
3 | Die Datei ist nicht signiert. |
4 | Widerrufene Signatur. |
5 | Abgelaufene Signatur. |
6 | Die Datei wird mit einem schwachen Hashalgorithmus signiert, der die Mindestrichtlinie nicht erfüllt. |
7 | Ungültiges Stammzertifikat. |
8 | Die Signatur konnte nicht überprüft werden; generischer Fehler. |
9 | Signaturzeit nicht vertrauenswürdig. |
10 | Die Datei muss für dieses Szenario mit Seitenhashes signiert werden. |
11 | Seitenhashkonflikt. |
12 | Ungültig für eine PPL (Protected Process Light). |
13 | Ungültig für ein PP (Protected Process). |
14 | In der Signatur fehlt die erforderliche ARM-Prozessor-EKU. |
15 | Fehler bei der WHQL-Überprüfung. |
16 | Die Standardmäßige Richtliniensignaturstufe wurde nicht erfüllt. |
17 | Benutzerdefinierte Richtliniensignaturstufe nicht erfüllt; wird zurückgegeben, wenn die Signatur nicht anhand eines SBCP-definierten Satzes von Zertifikaten überprüft wird. |
18 | Benutzerdefinierte Signaturstufe nicht erfüllt; wird zurückgegeben, wenn die Signatur in UMCI nicht übereinstimmt CISigners . |
19 | Die Binärdatei wird basierend auf ihrem Dateihash widerrufen. |
20 | Der Zeitstempel des SHA1-Zertifikathashs fehlt oder nach einem gültigen Cutoff, wie in der Schwachen Kryptografierichtlinie definiert. |
21 | Fehler beim Übergeben der Windows Defender-Anwendungssteuerungsrichtlinie. |
22 | Nicht isolierter Benutzermodus (IUM)) signiert; gibt an, dass versucht wird, eine Windows-Standardbinärdatei in ein virtualisierungsbasiertes Sicherheits-Trustlet (VBS) zu laden. |
23 | Ungültiger Imagehash. Dieser Fehler kann auf eine Dateibeschädigung oder ein Problem mit der Signatur der Datei hinweisen. Signaturen mit Elliptic Curve Cryptography (ECC), z. B. ECDSA, geben diesen VerificationError zurück. |
24 | Flight root nicht zulässig; gibt an, dass versucht wird, flight-signierten Code auf dem Produktionsbetriebssystem auszuführen. |
25 | Anti-Cheat-Richtlinienverstoß. |
26 | Von der WADC-Richtlinie explizit abgelehnt. |
27 | Die Signaturkette scheint manipuliert/ungültig zu sein. |
28 | Ressourcenseitenhashkonflikt. |
Optionen für Richtlinienaktivierungsereignisse
Die Werte der Anwendungssteuerungsrichtlinienregeloption können aus dem Feld "Optionen" im Abschnitt Details für erfolgreiche Richtlinienaktivierungsereignisse abgeleitet werden. Um die Werte zu analysieren, konvertieren Sie zuerst den hexadezimalen Wert in binär. Befolgen Sie den folgenden Workflow, um diese Werte abzuleiten und zu analysieren.
- Access-Ereignisanzeige.
- Greifen Sie auf das Code integrity 3099-Ereignis zu.
- Greifen Sie auf den Detailbereich zu.
- Identifizieren Sie den hexadzimierten Code, der im Feld "Optionen" aufgeführt ist.
- Konvertieren Sie den hexadezimierten Code in binär.
Führen Sie die folgenden Schritte aus, um eine einfache Lösung für die Konvertierung von hexadezimieren in binär zu erstellen:
- Öffnen Sie die Rechner-App.
- Wählen Sie das Menüsymbol aus.
- Wählen Sie Programmierermodus aus.
- Wählen Sie HEX aus.
- Geben Sie Ihren Hexadcode ein. Beispiel:
80881000
. - Wechseln Sie zur Bit-Toggling-Tastatur.
Diese Ansicht stellt den Hexadcode in binärer Form bereit, wobei jede Bitadresse separat angezeigt wird. Die Bitadressen beginnen bei 0 unten rechts. Jede Bitadresse korreliert mit einer bestimmten Ereignisrichtlinienregeloption. Wenn die Bitadresse den Wert 1 enthält, befindet sich die Einstellung in der Richtlinie.
Verwenden Sie als Nächstes die Bitadressen und deren Werte aus der folgenden Tabelle, um den Status der einzelnen Richtlinienregeloptionen zu bestimmen. Wenn beispielsweise die Bitadresse von 16 den Wert 1 enthält, befindet sich die Option Aktiviert: Überwachungsmodus (Standard) in der Richtlinie. Diese Einstellung bedeutet, dass sich die Richtlinie im Überwachungsmodus befindet.
Bitadresse | Richtlinienregeloption |
---|---|
2 | Enabled:UMCI |
3 | Enabled:Boot Menu Protection |
4 | Enabled:Intelligent Security Graph Authorization |
5 | Enabled:Invalidate EAs on Reboot |
7 | Required:WHQL |
10 | Enabled:Allow Supplemental Policies |
11 | Disabled:Runtime FilePath Rule Protection |
13 | Enabled:Revoked Expired As Unsigned |
16 | Enabled:Audit Mode (Default) |
17 | Disabled:Flight Signing |
18 | Enabled:Inherit Default Policy |
19 | Enabled:Unsigned System Integrity Policy (Default) |
20 | Enabled:Dynamic Code Security |
21 | Required:EV Signers |
22 | Enabled:Boot Audit on Failure |
23 | Enabled:Advanced Boot Options Menu |
24 | Disabled:Script Enforcement |
25 | Required:Enforce Store Applications |
27 | Enabled:Managed Installer |
28 | Enabled:Update Policy No Reboot |
Microsoft-Stammzertifizierungsstellen, die von Windows als vertrauenswürdig eingestuft werden
Die Regel bedeutet, dass alles, was von einem Zertifikat signiert wird, das mit dieser Stammzertifizierungsstelle verkettet ist, als vertrauenswürdig gilt.
Stamm-ID | Stammname |
---|---|
0 | Keine |
1 | Unknown |
2 | Self-Signed |
3 | Microsoft Authenticode(tm) Root Authority |
4 | Microsoft Product Root 1997 |
5 | Microsoft Product Root 2001 |
6 | Microsoft Product Root 2010 |
7 | Microsoft Standard Root 2011 |
8 | Microsoft Code Verification Root 2006 |
9 | Microsoft Test Root 1999 |
10 | Microsoft Test Root 2010 |
11 | Microsoft DMD Test Root 2005 |
12 | Microsoft DMDRoot 2005 |
13 | Microsoft DMD Preview Root 2005 |
14 | Microsoft Flight Root 2014 |
15 | Microsoft Third Party Marketplace Root |
16 | Microsoft ECC Testing Root CA 2017 |
17 | Microsoft ECC Development Root CA 2018 |
18 | Microsoft ECC Product Root CA 2018 |
19 | Microsoft ECC Devices Root CA 2017 |
Für bekannte Stammelemente werden die TBS-Hashes für die Zertifikate in den Code für die Windows Defender-Anwendungssteuerung integriert. Sie müssen beispielsweise nicht als TBS-Hashes in der Richtliniendatei aufgeführt werden.
Statuswerte
Stellt Werte dar, die zum Kommunizieren von Systeminformationen verwendet werden. Es gibt vier Typen: Erfolgswerte, Informationswerte, Warnwerte und Fehlerwerte. Informationen zu allgemeinen Nutzungsdetails finden Sie unter NTSATUS .