Compreender os eventos do Controlo de Aplicações

Descrição Geral dos Eventos de Controlo de Aplicações

O Controlo de Aplicações regista eventos quando uma política é carregada, quando um ficheiro é bloqueado ou quando um ficheiro seria bloqueado se estivesse no modo de auditoria. Estes eventos de bloqueio incluem informações que identificam a política e fornecem mais detalhes sobre o bloco. O Controlo de Aplicações não gera eventos quando é permitido um binário. No entanto, pode ativar a opção permitir eventos de auditoria para ficheiros autorizados por um instalador gerido ou pelo Gráfico de Segurança Inteligente (ISG), conforme descrito mais adiante neste artigo.

Registos de eventos do Controlo de Aplicações Principais

Os eventos do Controlo de Aplicações são gerados em duas localizações no Windows Visualizador de Eventos:

  • Registos de Aplicações e Serviços – Microsoft – Windows – Integridade do Código – Operacional inclui eventos sobre a ativação da política de Controlo de Aplicações e o controlo de executáveis, dlls e controladores.
  • Registos de Aplicações e Serviços – Microsoft – Windows – AppLocker – MSI e Script incluem eventos sobre o controlo de instaladores, scripts e objetos COM do MSI.

A maioria das falhas de aplicações e scripts que ocorrem quando o Controlo de Aplicações está ativo pode ser diagnosticada com estes dois registos de eventos. Este artigo descreve com maior detalhe os eventos que existem nestes registos. Para compreender o significado de diferentes elementos de dados ou etiquetas, encontrados nos detalhes destes eventos, veja Compreender as etiquetas de eventos do Controlo de Aplicações.

Observação

Os registos de Aplicações e Serviços – Microsoft – Windows – AppLocker – os eventos MSI e Script não estão incluídos na edição Windows Server Core.

O Controlo de Aplicações bloqueia eventos para executáveis, dlls e controladores

Estes eventos encontram-se no registo de eventos CodeIntegrity – Operational .

ID do evento Explicação
3004 Este evento não é comum e pode ocorrer com ou sem uma política de Controlo de Aplicações presente. Normalmente, indica que um controlador de kernel tentou carregar com uma assinatura inválida. Por exemplo, o ficheiro pode não estar com sessão WHQL num sistema em que o WHQL é necessário.

Este evento também é visto para código de kernel ou de modo de utilizador que o programador optou por participar no /INTEGRITYCHECK , mas não está assinado corretamente.
3033 Este evento pode ocorrer com ou sem uma política de Controlo de Aplicações presente e deve ocorrer juntamente com um evento 3077, se causado pela política de Controlo de Aplicações. Geralmente, significa que a assinatura do ficheiro é revogada ou que uma assinatura com o EKU de Assinatura de Duração expirou. A presença do EKU de Assinatura de Duração é o único caso em que o Controlo de Aplicações bloqueia ficheiros devido a uma assinatura expirada. Experimente utilizar a opção 20 Enabled:Revoked Expired As Unsigned na sua política juntamente com uma regra (por exemplo, hash) que não dependa do certificado revogado ou expirado.

Este evento também ocorre se o código compilado com o Code Integrity Guard (CIG) tentar carregar outro código que não cumpra os requisitos do CIG.
3034 Este evento não é comum. É o equivalente ao modo de auditoria do evento 3033.
3076 Este evento é o main evento de bloqueio do Controlo de Aplicações para políticas de modo de auditoria. Indica que o ficheiro teria sido bloqueado se a política fosse imposta.
3077 Este evento é o main evento de bloqueio do Controlo de Aplicações para políticas impostas. Indica que o ficheiro não passou na sua política e foi bloqueado.
3089 Este evento contém informações de assinatura para ficheiros que foram bloqueados ou auditados pelo Controlo de Aplicações. Um destes eventos é criado para cada assinatura de um ficheiro. Cada evento mostra o número total de assinaturas encontradas e um valor de índice para identificar a assinatura atual. Os ficheiros não assinados geram um único destes eventos com TotalSignatureCount de 0. Estes eventos estão correlacionados com os eventos 3004, 3033, 3034, 3076 e 3077. Pode corresponder os eventos com o Correlation ActivityID encontrado na parte Sistema do evento.

O Controlo de Aplicações bloqueia eventos para aplicações em pacote, instaladores MSI, scripts e objetos COM

Estes eventos encontram-se no registo de eventos AppLocker – MSI e Script .

ID do evento Explicação
8028 Este evento indica que um anfitrião de scripts, como o PowerShell, consultou o Controlo de Aplicações sobre um ficheiro que o anfitrião do script estava prestes a executar. Uma vez que a política estava no modo de auditoria, o script ou o ficheiro MSI deveria ter sido executado, mas não teria aprovado a política de Controlo de Aplicações se fosse imposta. Alguns anfitriões de scripts podem ter informações adicionais nos respetivos registos. Nota: a maioria dos anfitriões de scripts de terceiros não se integra com o Controlo de Aplicações. Considere os riscos de scripts não verificados ao escolher os anfitriões de script que permite executar.
8029 Este evento é o equivalente ao modo de imposição do evento 8028. Nota: embora este evento diga que um script foi bloqueado, os anfitriões de script controlam o comportamento real de imposição do script. O anfitrião do script pode permitir que o ficheiro seja executado com restrições e não bloquear totalmente o ficheiro. Por exemplo, o PowerShell executa o script não permitido pela política de Controlo de Aplicações no Modo de Idioma Restrito.
8036 O objeto COM foi bloqueado. Para saber mais sobre a autorização de objetos COM, veja Permitir o registo de objetos COM numa política de Controlo de Aplicações para Empresas.
8037 Este evento indica que um anfitrião de scripts verificou se pretende permitir a execução de um script e o ficheiro passou na política de Controlo de Aplicações.
8038 Evento de informações de assinatura correlacionado com um evento 8028 ou 8029. É gerado um evento 8038 para cada assinatura de um ficheiro de script. Contém o número total de assinaturas num ficheiro de script e um índice sobre a assinatura que é. Os ficheiros de script não assinados geram um único evento 8038 com TotalSignatureCount 0. Estes eventos estão correlacionados com eventos 8028 e 8029 e podem ser correspondidos com o Correlation ActivityID encontrado na parte Sistema do evento.
8039 Este evento indica que uma aplicação em pacote (MSIX/AppX) foi autorizada a instalar ou executar porque a política de Controlo de Aplicações está no modo de auditoria. Mas teria sido bloqueado se a política fosse aplicada.
8040 Este evento indica que uma aplicação em pacote foi impedida de instalar ou executar devido à política de Controlo de Aplicações.

Eventos de ativação da política de Controlo de Aplicações

Estes eventos encontram-se no registo de eventos CodeIntegrity – Operational .

ID do evento Explicação
3095 A política de Controlo de Aplicações não pode ser atualizada e tem de ser reiniciada.
3096 A política de Controlo de Aplicações não foi atualizada, uma vez que já está atualizada. Os Detalhes deste evento incluem informações úteis sobre a política, como as opções de política.
3097 Não é possível atualizar a política de Controlo de Aplicações.
3099 Indica que uma política foi carregada. Os Detalhes deste evento incluem informações úteis sobre a política de Controlo de Aplicações, como as opções de política.
3100 A política de Controlo de Aplicações foi atualizada, mas não foi ativada com êxito. Retentar.
3101 A atualização da política de Controlo de Aplicações foi iniciada para políticas N .
3102 Atualização da política de Controlo de Aplicações concluída para N políticas.
3103 O sistema está a ignorar a atualização da política de Controlo de Aplicações. Por exemplo, uma política do Windows de caixa de entrada que não cumpre as condições de ativação.
3105 O sistema está a tentar atualizar a política de Controlo de Aplicações com o ID especificado.

Eventos de diagnóstico para o Graph de Segurança Inteligente (ISG) e o Instalador Gerido (MI)

Observação

Quando o Instalador Gerido está ativado, os clientes que utilizam o LogAnalytics devem estar cientes de que o Instalador Gerido pode acionar muitos eventos 3091. Os clientes poderão ter de filtrar estes eventos para evitar custos elevados do LogAnalytics.

Os seguintes eventos fornecem informações de diagnóstico úteis quando uma política de Controlo de Aplicações inclui a opção ISG ou MI. Estes eventos podem ajudá-lo a depurar o motivo pelo qual algo foi permitido/negado com base no instalador gerido ou no ISG. Os eventos 3090, 3091 e 3092 não indicam necessariamente um problema, mas devem ser revistos em contexto com outros eventos como 3076 ou 3077.

Salvo indicação em contrário, estes eventos encontram-se no registo de eventos Integridade do Código – Integridade Operacional ou Integridade do Código – Verboso , consoante a sua versão do Windows.

ID do evento Explicação
3090 Opcional Este evento indica que um ficheiro foi autorizado a ser executado com base apenas no ISG ou no instalador gerido.
3091 Este evento indica que um ficheiro não tinha autorização ISG ou instalador gerido e que a política de Controlo de Aplicações está no modo de auditoria.
3092 Este evento é o equivalente ao modo de imposição 3091.
8002 Este evento encontra-se no registo de eventos AppLocker – EXE e DLL . Quando é iniciado um processo que corresponde a uma regra do instalador gerido, este evento é gerado com PolicyName = MANAGEDINSTALLER encontrado nos Detalhes do evento. Os eventos com PolicyName = EXE ou DLL não estão relacionados com o Controlo de Aplicações.

Os eventos 3090, 3091 e 3092 são reportados por política ativa no sistema, pelo que poderá ver vários eventos para o mesmo ficheiro.

Detalhes do evento de diagnóstico ISG e MI

As seguintes informações encontram-se nos detalhes dos eventos 3090, 3091 e 3092.

Nome Explicação
ManagedInstallerEnabled Indica se a política especificada ativa a confiança do instalador gerido
PassesManagedInstaller Indica se o ficheiro teve origem numa MI
SmartlockerEnabled Indica se a política especificada ativa a confiança ISG
PassesSmartlocker Indica se o ficheiro tinha uma reputação positiva de acordo com o ISG
AuditEnabled Verdadeiro se a política de Controlo de Aplicações estiver no modo de auditoria, caso contrário, está no modo de imposição
PolicyName O nome da política de Controlo de Aplicações à qual o evento se aplica

Ativar eventos de diagnóstico ISG e MI

Para ativar eventos de permissão 3090, crie uma chave de registo TestFlags com um valor de 0x300 conforme mostrado no seguinte comando do PowerShell. Em seguida, reinicie o computador.

reg add hklm\system\currentcontrolset\control\ci -v TestFlags -t REG_DWORD -d 0x300

Os eventos 3091 e 3092 estão inativos em algumas versões do Windows e são ativados pelo comando anterior.

Apêndice

Uma lista de outros IDs de evento relevantes e a respetiva descrição correspondente.

ID do Evento Descrição
3001 Tentou-se carregar um controlador não assinado no sistema.
3002 A Integridade do Código não conseguiu verificar a imagem de arranque porque não foi possível localizar o hash da página.
3004 A Integridade do Código não conseguiu verificar o ficheiro porque não foi possível localizar o hash da página.
3010 O catálogo que contém a assinatura do ficheiro em validação é inválido.
3011 A Integridade do Código terminou o carregamento do catálogo de assinaturas.
3012 A Integridade do Código começou a carregar o catálogo de assinaturas.
3023 O ficheiro de controlador em validação não cumpriu os requisitos para passar a política de Controlo de Aplicações.
3024 O Controlo de Aplicações do Windows não conseguiu atualizar o ficheiro do catálogo de arranque.
3026 A Microsoft ou a autoridade emissora de certificados revogaram o certificado que assinou o catálogo.
3032 O ficheiro em validação é revogado ou o ficheiro tem uma assinatura revogada.
3033 O ficheiro em validação não cumpriu os requisitos para passar a política de Controlo de Aplicações.
3034 O ficheiro em validação não cumpriria os requisitos para passar a política de Controlo de Aplicações se fosse imposta. O ficheiro foi permitido, uma vez que a política está no modo de auditoria.
3036 A Microsoft ou a autoridade emissora de certificados revogaram o certificado que assinou o ficheiro a ser validado.
3064 Se a política de Controlo de Aplicações fosse imposta, uma DLL de modo de utilizador em validação não cumpriria os requisitos para passar a política de Controlo de Aplicações. A DLL foi permitida uma vez que a política está no modo de auditoria.
3065 Se a política de Controlo de Aplicações fosse imposta, uma DLL de modo de utilizador em validação não cumpriria os requisitos para passar a política de Controlo de Aplicações.
3074 Falha do hash de página enquanto a integridade do código protegido por hipervisor foi ativada.
3075 Este evento mede o desempenho da política de Controlo de Aplicações marcar durante a validação de ficheiros.
3076 Este evento é o main evento de bloqueio do Controlo de Aplicações para políticas de modo de auditoria. Indica que o ficheiro teria sido bloqueado se a política fosse imposta.
3077 Este evento é o main evento de bloqueio do Controlo de Aplicações para políticas impostas. Indica que o ficheiro não passou na sua política e foi bloqueado.
3079 O ficheiro em validação não cumpriu os requisitos para passar a política de Controlo de Aplicações.
3080 Se a política de Controlo de Aplicações estivesse no modo imposto, o ficheiro em validação não teria cumprido os requisitos para passar a política de Controlo de Aplicações.
3081 O ficheiro em validação não cumpriu os requisitos para passar a política de Controlo de Aplicações.
3082 Se a política de Controlo de Aplicações fosse imposta, a política teria bloqueado este controlador não WHQL.
3084 A Integridade do Código está a impor os requisitos de assinatura do controlador WHQL nesta sessão de arranque.
3085 A Integridade do Código não está a impor os requisitos de assinatura do controlador WHQL nesta sessão de arranque.
3086 O ficheiro em validação não cumpre os requisitos de assinatura para um processo de modo de utilizador isolado (IUM).
3089 Este evento contém informações de assinatura para ficheiros que foram bloqueados ou auditados pelo Controlo de Aplicações. É criado um evento 3089 para cada assinatura de um ficheiro.
3090 Opcional Este evento indica que um ficheiro foi autorizado a ser executado com base apenas no ISG ou no instalador gerido.
3091 Este evento indica que um ficheiro não tinha autorização ISG ou instalador gerido e que a política de Controlo de Aplicações está no modo de auditoria.
3092 Este evento é o equivalente ao modo de imposição 3091.
3095 A política de Controlo de Aplicações não pode ser atualizada e tem de ser reiniciada.
3096 A política de Controlo de Aplicações não foi atualizada, uma vez que já está atualizada.
3097 Não é possível atualizar a política de Controlo de Aplicações.
3099 Indica que uma política foi carregada. Este evento também inclui informações sobre as opções definidas pela política de Controlo de Aplicações.
3100 A política de Controlo de Aplicações foi atualizada, mas não foi ativada com êxito. Retentar.
3101 O sistema começou a atualizar a política de Controlo de Aplicações.
3102 O sistema concluiu a atualização da política de Controlo de Aplicações.
3103 O sistema está a ignorar a atualização da política de Controlo de Aplicações.
3104 O ficheiro em validação não cumpre os requisitos de assinatura para um processo PPL (luz de processo protegido).
3105 O sistema está a tentar atualizar a política de Controlo de Aplicações.
3108 O evento de alteração do modo Windows foi efetuado com êxito.
3110 O evento de alteração do modo Windows não teve êxito.
3111 O ficheiro em validação não cumpriu a política de integridade do código (HVCI) protegida pelo hipervisor.
3112 O Windows revogou o certificado que assinou o ficheiro a ser validado.
3114 A Segurança do Código Dinâmico optou pela aplicação .NET ou pela DLL na validação da política de Controlo de Aplicações. O ficheiro em validação não passou na política e foi bloqueado.