Informazioni sugli eventi di Controllo app
Panoramica degli eventi di controllo dell'app
Controllo app registra gli eventi quando viene caricato un criterio, quando un file è bloccato o quando un file viene bloccato se in modalità di controllo. Questi eventi di blocco includono informazioni che identificano i criteri e offrono maggiori dettagli sul blocco. Controllo app non genera eventi quando è consentito un file binario. È tuttavia possibile attivare gli eventi di controllo consentiti per i file autorizzati da un programma di installazione gestito o da Intelligent Security Graph (ISG), come descritto più avanti in questo articolo.
Log eventi di Controllo app di base
Gli eventi di Controllo app vengono generati in due posizioni in Windows Visualizzatore eventi:
- Log di applicazioni e servizi - Microsoft - Windows - CodeIntegrity - Operational include eventi relativi all'attivazione dei criteri di Controllo app e al controllo di eseguibili, DLL e driver.
- I log di applicazioni e servizi - Microsoft - Windows - AppLocker - MSI e Script includono eventi relativi al controllo di programmi di installazione msi, script e oggetti COM.
La maggior parte degli errori di app e script che si verificano quando Il controllo app è attivo può essere diagnosticata usando questi due log eventi. Questo articolo descrive in modo più dettagliato gli eventi presenti in questi log. Per comprendere il significato di diversi elementi dati, o tag, disponibili nei dettagli di questi eventi, vedere Informazioni sui tag degli eventi di Controllo app.
Nota
I log delle applicazioni e dei servizi - Microsoft - Windows - AppLocker - Msi e Gli eventi script non sono inclusi in Windows Server Core Edition.
Eventi di blocco di Controllo app per eseguibili, DLL e driver
Questi eventi sono disponibili nel registro eventi CodeIntegrity - Operational .
| ID evento | Spiegazione |
|---|---|
| 3004 | Questo evento non è comune e può verificarsi con o senza un criterio di controllo delle app. Indica in genere che un driver del kernel ha tentato di caricare con una firma non valida. Ad esempio, il file potrebbe non essere firmato con WHQL in un sistema in cui è richiesto WHQL. Questo evento viene visualizzato anche per il codice in modalità kernel o utente che lo sviluppatore ha acconsentito esplicitamente a /INTEGRITYCHECK ma non è firmato correttamente. |
| 3033 | Questo evento può verificarsi con o senza un criterio controllo app presente e deve verificarsi insieme a un evento 3077 se causato dai criteri di Controllo app. Spesso significa che la firma del file viene revocata o che una firma con l'EKU di firma della durata è scaduta. La presenza dell'EKU di firma della durata è l'unico caso in cui Controllo app blocca i file a causa di una firma scaduta. Provare a usare l'opzione 20 Enabled:Revoked Expired As Unsigned nei criteri insieme a una regola (ad esempio, hash) che non si basa sul certificato revocato o scaduto.Questo evento si verifica anche se il codice compilato con Code Integrity Guard (CIG) tenta di caricare altro codice che non soddisfa i requisiti della libreria di distribuzione.This event also occurs if code compiled with Code Integrity Guard (CIG) tries to load other code that doesn't meet the CIG requirements.This event also occurs if code compiled with Code Integrity Guard (CIG) tries to load other code that doesn't meet the CIG requirements. |
| 3034 | Questo evento non è comune. È l'equivalente della modalità di controllo dell'evento 3033. |
| 3076 | Questo evento è l'evento principale del blocco di controllo app per i criteri della modalità di controllo. Indica che il file sarebbe stato bloccato se i criteri sono stati applicati. |
| 3077 | Questo evento è l'evento principale del blocco di controllo app per i criteri applicati. Indica che il file non ha superato i criteri ed è stato bloccato. |
| 3089 | Questo evento contiene informazioni sulla firma per i file bloccati o bloccati da Controllo app. Uno di questi eventi viene creato per ogni firma di un file. Ogni evento mostra il numero totale di firme trovate e un valore di indice per identificare la firma corrente. I file non firmati generano un singolo di questi eventi con TotalSignatureCount pari a 0. Questi eventi sono correlati agli eventi 3004, 3033, 3034, 3076 e 3077. È possibile trovare una corrispondenza con gli eventi usando l'oggetto Correlation ActivityID trovato nella parte System dell'evento. |
Eventi di blocco di Controllo app per app in pacchetto, programmi di installazione MSI, script e oggetti COM
Questi eventi si trovano nel registro eventi AppLocker - MSI e Script .
| ID evento | Spiegazione |
|---|---|
| 8028 | Questo evento indica che un host di script, ad esempio PowerShell, ha eseguito una query sul controllo app su un file che l'host di script stava per eseguire. Poiché i criteri erano in modalità di controllo, lo script o il file MSI avrebbe dovuto essere eseguito, ma non avrebbe superato i criteri di controllo delle app se fosse stato applicato. Alcuni host di script possono avere informazioni aggiuntive nei log. Nota: la maggior parte degli host di script di terze parti non si integra con Controllo app. Considerare i rischi derivanti dagli script non verificati quando si scelgono gli host di script consentiti per l'esecuzione. |
| 8029 | Questo evento è l'equivalente della modalità di imposizione dell'evento 8028. Nota: anche se questo evento indica che uno script è stato bloccato, gli host di script controllano il comportamento effettivo di imposizione dello script. L'host di script può consentire l'esecuzione del file con restrizioni e non bloccare il file in modo definitivo. Ad esempio, PowerShell esegue script non consentiti dai criteri di Controllo app in modalità linguaggio vincolato. |
| 8036 | L'oggetto COM è stato bloccato. Per altre informazioni sull'autorizzazione dell'oggetto COM, vedere Consentire la registrazione di oggetti COM in un criterio controllo app per le aziende. |
| 8037 | Questo evento indica che un host di script ha verificato se consentire l'esecuzione di uno script e il file ha passato i criteri di Controllo app. |
| 8038 | Evento di informazioni sulla firma correlato a un evento 8028 o 8029. Viene generato un evento 8038 per ogni firma di un file di script. Contiene il numero totale di firme in un file di script e un indice sulla firma. I file di script non firmati generano un singolo evento 8038 con TotalSignatureCount 0. Questi eventi sono correlati agli eventi 8028 e 8029 e possono essere confrontati usando l'oggetto Correlation ActivityID presente nella parte System dell'evento. |
| 8039 | Questo evento indica che un'app in pacchetto (MSIX/AppX) è stata autorizzata a installare o eseguire perché i criteri di controllo app sono in modalità di controllo. Tuttavia, sarebbe stato bloccato se il criterio fosse stato applicato. |
| 8040 | Questo evento indica che non è stato possibile installare o eseguire un'app in pacchetto a causa dei criteri di Controllo app. |
Eventi di attivazione dei criteri di Controllo app
Questi eventi sono disponibili nel registro eventi CodeIntegrity - Operational .
| ID evento | Spiegazione |
|---|---|
| 3095 | I criteri di Controllo app non possono essere aggiornati e devono essere riavviati. |
| 3096 | I criteri di Controllo app non sono stati aggiornati perché sono già aggiornati. I dettagli di questo evento includono informazioni utili sui criteri, ad esempio le relative opzioni dei criteri. |
| 3097 | I criteri di Controllo app non possono essere aggiornati. |
| 3099 | Indica che è stato caricato un criterio. Dettagli dell'evento include informazioni utili sui criteri di Controllo app, ad esempio le relative opzioni dei criteri. |
| 3100 | I criteri di Controllo app sono stati aggiornati ma non sono stati attivati correttamente. Ripetere. |
| 3101 | Aggiornamento dei criteri di Controllo app avviato per N criteri. |
| 3102 | Aggiornamento dei criteri di Controllo app completato per N criteri. |
| 3103 | Il sistema ignora l'aggiornamento dei criteri di Controllo app. Ad esempio, un criterio windows della posta in arrivo che non soddisfa le condizioni per l'attivazione. |
| 3105 | Il sistema sta tentando di aggiornare i criteri di Controllo app con l'ID specificato. |
Eventi di diagnostica per Intelligent Security Graph (ISG) e programma di installazione gestito (MI)
Nota
Quando il programma di installazione gestito è abilitato, i clienti che usano LogAnalytics devono tenere presente che il programma di installazione gestito potrebbe generare molti eventi 3091. I clienti potrebbero dover filtrare questi eventi per evitare costi elevati di LogAnalytics.
Gli eventi seguenti forniscono informazioni di diagnostica utili quando un criterio di controllo app include l'opzione ISG o MI. Questi eventi consentono di eseguire il debug del motivo per cui è stato consentito o negato un elemento in base al programma di installazione gestito o al gruppo di sicurezza di azure. Gli eventi 3090, 3091 e 3092 non indicano necessariamente un problema, ma devono essere esaminati nel contesto di altri eventi, ad esempio 3076 o 3077.
Se non diversamente specificato, questi eventi si trovano nel registro eventi CodeIntegrity - Operational o nel registro eventi CodeIntegrity - Verbose a seconda della versione di Windows.
| ID evento | Spiegazione |
|---|---|
| 3090 | Opzionale Questo evento indica che è stato consentito l'esecuzione di un file basato esclusivamente su ISG o sul programma di installazione gestito. |
| 3091 | Questo evento indica che un file non dispone dell'autorizzazione isg o del programma di installazione gestito e che i criteri di controllo delle app sono in modalità di controllo. |
| 3092 | Questo evento è l'equivalente della modalità di imposizione 3091. |
| 8002 | Questo evento si trova nel log eventi di AppLocker - EXE e DLL . Quando viene avviato un processo che corrisponde a una regola del programma di installazione gestita, questo evento viene generato con PolicyName = MANAGEDINSTALLER trovato nei dettagli dell'evento. Gli eventi con PolicyName = EXE o DLL non sono correlati al controllo app. |
Gli eventi 3090, 3091 e 3092 vengono segnalati per ogni criterio attivo nel sistema, pertanto è possibile che vengano visualizzati più eventi per lo stesso file.
Dettagli dell'evento di diagnostica ISG e MI
Le informazioni seguenti sono disponibili nei dettagli per gli eventi 3090, 3091 e 3092.
| Nome | Spiegazione |
|---|---|
| ManagedInstallerEnabled | Indica se il criterio specificato abilita l'attendibilità del programma di installazione gestito |
| PassaManagedInstaller | Indica se il file ha avuto origine da un MI |
| SmartlockerEnabled | Indica se il criterio specificato abilita l'attendibilità ISG |
| PassSmartlocker | Indica se il file aveva una reputazione positiva in base all'ISG |
| AuditEnabled | True se i criteri di Controllo app sono in modalità di controllo, in caso contrario sono in modalità di imposizione |
| PolicyName | Nome dei criteri di Controllo app a cui si applica l'evento |
Abilitazione di eventi di diagnostica ISG e MI
Per abilitare gli eventi consentiti 3090, creare una regkey TestFlags con un valore di 0x300 come illustrato nel comando di PowerShell seguente. Riavviare quindi il computer.
reg add hklm\system\currentcontrolset\control\ci -v TestFlags -t REG_DWORD -d 0x300
Gli eventi 3091 e 3092 sono inattivi in alcune versioni di Windows e sono attivati dal comando precedente.
Appendice
Elenco di altri ID evento rilevanti e la relativa descrizione corrispondente.
| ID evento | Descrizione |
|---|---|
| 3001 | È stato effettuato un tentativo di caricamento di un driver non firmato nel sistema. |
| 3002 | L'integrità del codice non è riuscita a verificare l'immagine di avvio perché non è stato possibile trovare l'hash della pagina. |
| 3004 | L'integrità del codice non è riuscita a verificare il file perché non è stato possibile trovare l'hash della pagina. |
| 3010 | Il catalogo contenente la firma per il file in fase di convalida non è valido. |
| 3011 | L'integrità del codice ha completato il caricamento del catalogo delle firme. |
| 3012 | Integrità del codice ha avviato il caricamento del catalogo delle firme. |
| 3023 | Il file del driver sottoposto a convalida non soddisfa i requisiti per passare i criteri di Controllo app. |
| 3024 | Controllo app di Windows non è riuscito ad aggiornare il file del catalogo di avvio. |
| 3026 | Microsoft o l'autorità emittente del certificato ha revocato il certificato che ha firmato il catalogo. |
| 3032 | Il file sottoposto a convalida viene revocato o il file ha una firma revocata. |
| 3033 | Il file sottoposto a convalida non soddisfa i requisiti per passare i criteri di Controllo app. |
| 3034 | Il file sottoposto a convalida non soddisfa i requisiti per passare i criteri di Controllo app se è stato applicato. Il file è stato consentito perché i criteri sono in modalità di controllo. |
| 3036 | Microsoft o l'autorità emittente del certificato ha revocato il certificato che ha firmato il file da convalidare. |
| 3064 | Se i criteri di Controllo app sono stati applicati, una DLL in modalità utente in fase di convalida non soddisfa i requisiti per passare i criteri di Controllo app. La DLL è stata consentita perché il criterio è in modalità di controllo. |
| 3065 | Se i criteri di Controllo app sono stati applicati, una DLL in modalità utente in fase di convalida non soddisfa i requisiti per passare i criteri di Controllo app. |
| 3074 | Errore di hash della pagina durante l'abilitazione dell'integrità del codice protetta da hypervisor. |
| 3075 | Questo evento misura le prestazioni del controllo dei criteri di Controllo app durante la convalida dei file. |
| 3076 | Questo evento è l'evento principale del blocco di controllo app per i criteri della modalità di controllo. Indica che il file sarebbe stato bloccato se i criteri sono stati applicati. |
| 3077 | Questo evento è l'evento principale del blocco di controllo app per i criteri applicati. Indica che il file non ha superato i criteri ed è stato bloccato. |
| 3079 | Il file sottoposto a convalida non soddisfa i requisiti per passare i criteri di Controllo app. |
| 3080 | Se i criteri di Controllo app erano in modalità applicata, il file sottoposto a convalida non avrebbe soddisfatto i requisiti per passare i criteri di Controllo app. |
| 3081 | Il file sottoposto a convalida non soddisfa i requisiti per passare i criteri di Controllo app. |
| 3082 | Se i criteri di controllo delle app sono stati applicati, il criterio avrebbe bloccato questo driver non WHQL. |
| 3084 | L'integrità del codice applica i requisiti di firma del driver WHQL in questa sessione di avvio. |
| 3085 | L'integrità del codice non applica i requisiti di firma del driver WHQL in questa sessione di avvio. |
| 3086 | Il file sottoposto a convalida non soddisfa i requisiti di firma per un processo IUM (Isolated User Mode). |
| 3089 | Questo evento contiene informazioni sulla firma per i file bloccati o bloccati da Controllo app. Viene creato un evento 3089 per ogni firma di un file. |
| 3090 | Opzionale Questo evento indica che è stato consentito l'esecuzione di un file basato esclusivamente su ISG o sul programma di installazione gestito. |
| 3091 | Questo evento indica che un file non dispone dell'autorizzazione isg o del programma di installazione gestito e che i criteri di controllo delle app sono in modalità di controllo. |
| 3092 | Questo evento è l'equivalente della modalità di imposizione 3091. |
| 3095 | I criteri di Controllo app non possono essere aggiornati e devono essere riavviati. |
| 3096 | I criteri di Controllo app non sono stati aggiornati perché sono già aggiornati. |
| 3097 | I criteri di Controllo app non possono essere aggiornati. |
| 3099 | Indica che è stato caricato un criterio. Questo evento include anche informazioni sulle opzioni impostate dai criteri di Controllo app. |
| 3100 | I criteri di Controllo app sono stati aggiornati ma non sono stati attivati correttamente. Ripetere. |
| 3101 | Il sistema ha avviato l'aggiornamento dei criteri di Controllo app. |
| 3102 | Il sistema ha completato l'aggiornamento dei criteri di Controllo app. |
| 3103 | Il sistema ignora l'aggiornamento dei criteri di Controllo app. |
| 3104 | Il file sottoposto a convalida non soddisfa i requisiti di firma per un processo PPL (protected process light). |
| 3105 | Il sistema sta tentando di aggiornare i criteri di Controllo app. |
| 3108 | L'evento di modifica della modalità Windows ha avuto esito positivo. |
| 3110 | L'evento di modifica della modalità Windows non è riuscito. |
| 3111 | Il file sottoposto a convalida non soddisfa i criteri di integrità del codice protetto da hypervisor . |
| 3112 | Windows ha revocato il certificato che ha firmato il file da convalidare. |
| 3114 | Dynamic Code Security ha scelto l'app o la DLL .NET nella convalida dei criteri di Controllo app. Il file sottoposto a convalida non ha superato i criteri ed è stato bloccato. |