Usando o Visualizador de Eventos com o AppLocker
Este artigo lista os eventos do AppLocker e descreve como utilizar Visualizador de Eventos com o AppLocker.
O registo do AppLocker contém informações sobre as aplicações afetadas pelas regras do AppLocker. Cada evento no registo contém detalhes como as seguintes informações:
- Que ficheiro é afetado e o caminho desse ficheiro
- Que aplicação em pacote é afetada e o identificador do pacote da aplicação
- Se o ficheiro ou a aplicação em pacote é permitido ou bloqueado
- O tipo de regra (caminho, hash de ficheiro ou publicador)
- O nome da regra
- O identificador de segurança (SID) para o utilizador ou grupo identificado na regra
Reveja as entradas no Visualizador de Eventos para determinar se alguma aplicação não está incluída nas regras que gerou automaticamente. Por exemplo, algumas aplicações de linha de negócio são instaladas em localizações não padrão, como a raiz da unidade ativa (por exemplo, %SystemDrive%).
Para obter informações sobre o que procurar nos registos de eventos do AppLocker, consulte Monitorizar a utilização de aplicações com o AppLocker.
Observação
Os registos de eventos do AppLocker são muito verbosos e podem resultar num grande número de eventos consoante as políticas implementadas, particularmente no registo de eventos AppLocker – EXE e DLL . Se estiver a utilizar um serviço de reencaminhamento e recolha de eventos, como o LogAnalytics, poderá querer ajustar a configuração desse registo de eventos para recolher apenas eventos de Erro ou parar de recolher eventos desse registo.
Reveja os registos do AppLocker no Windows Visualizador de Eventos
- Abra o Visualizador de Eventos.
- Na árvore da consola em Registos de Aplicações e Serviços\Microsoft\Windows, selecione AppLocker.
A tabela seguinte contém informações sobre os eventos que pode utilizar para determinar as aplicações afetadas pelas regras do AppLocker.
| ID do evento | Nível | Mensagem de evento | Descrição |
|---|---|---|---|
| 8000 | Erro | Falha na conversão da política appID. Estado * <%1> * | Indica que a política não foi aplicada corretamente ao computador. A mensagem status é fornecida para fins de resolução de problemas. |
| 8001 | Informações do | A política AppLocker foi aplicada com êxito a este computador. | Indica que a política appLocker foi aplicada com êxito ao computador. |
| 8002 | Informações do | *<Nome do ficheiro> * foi autorizado a ser executado. | Indica que uma regra do AppLocker permitiu o ficheiro .exe ou .dll. |
| 8003 | Aviso | *<Nome do ficheiro> * foi autorizado a ser executado, mas teria sido impedido de ser executado se a política appLocker fosse imposta. | Mostrado apenas quando o modo de imposição Apenas auditoria está ativado. Indica que a política appLocker bloquearia a .exe ou .dll ficheiro se a definição do modo de imposição fosse Impor regras. |
| 8004 | Erro | *<O nome do ficheiro> * foi impedido de ser executado. | O AppLocker bloqueou o ficheiro EXE ou DLL com o nome . Mostrado apenas quando o modo de imposição Impor regras está ativado. |
| 8005 | Informações do | *<Nome do ficheiro> * foi autorizado a ser executado. | Indica que uma regra do AppLocker permitiu o script ou .msi ficheiro. |
| 8006 | Aviso | *<Nome do ficheiro> * foi autorizado a ser executado, mas teria sido impedido de ser executado se a política appLocker fosse imposta. | Mostrado apenas quando o modo de imposição Apenas auditoria está ativado. Indica que a política appLocker bloquearia o script ou .msi ficheiro se o modo de imposição Impor regras estivesse ativado. |
| 8007 | Erro | *<O nome do ficheiro> * foi impedido de ser executado. | O AppLocker bloqueou o script ou MSI com o nome . Mostrado apenas quando o modo de imposição Impor regras está ativado. |
| 8008 | Aviso | *<Nome> do ficheiro *: componente AppLocker não disponível neste SKU. | Indica uma edição do Windows que não suporta o AppLocker. |
| 8020 | Informações do | *<Nome do ficheiro> * foi autorizado a ser executado. | Adicionado em Windows Server 2012 e Windows 8. |
| 8021 | Aviso | *<Nome do ficheiro> * foi autorizado a ser executado, mas teria sido impedido de ser executado se a política appLocker fosse imposta. | Adicionado em Windows Server 2012 e Windows 8. |
| 8022 | Erro | *<O nome do ficheiro> * foi impedido de ser executado. | Adicionado em Windows Server 2012 e Windows 8. |
| 8023 | Informações do | *<Nome> do ficheiro * foi autorizado a ser instalado. | Adicionado em Windows Server 2012 e Windows 8. |
| 8024 | Aviso | *<Nome do ficheiro> * foi autorizado a ser executado, mas teria sido impedido de ser executado se a política appLocker fosse imposta. | Adicionado em Windows Server 2012 e Windows 8. |
| 8025 | Erro | *<O nome do ficheiro> * foi impedido de ser executado. | Adicionado em Windows Server 2012 e Windows 8. |
| 8027 | Erro | Não é possível executar aplicações em pacote enquanto as regras Exe estão a ser impostas e não foram configuradas regras de aplicações em pacote. | Adicionado em Windows Server 2012 e Windows 8. |
| 8028 | Aviso | *<Nome do ficheiro> * foi autorizado a ser executado, mas teria sido impedido se a política DE CONFIGURAÇÃO fosse imposta. | Adicionado em Windows Server 2016 e Windows 10. |
| 8029 | Erro | *<O nome> do ficheiro * foi impedido de ser executado devido à política de CI de Configuração. | Adicionado em Windows Server 2016 e Windows 10. |
| 8030 | Informações do | ManagedInstaller marcar SUCCEEDED durante a verificação de Appid de * | Adicionado em Windows Server 2016 e Windows 10. |
| 8031 | Informações do | SmartlockerFilter detetou o ficheiro * a ser escrito pelo processo * | Adicionado em Windows Server 2016 e Windows 10. |
| 8032 | Erro | Falha do ManagedInstaller marcar durante a verificação do Appid de * | Adicionado em Windows Server 2016 e Windows 10. |
| 8033 | Aviso | ManagedInstaller marcar falhou durante a verificação do Appid de * . Permitido executar devido à Política de AppLocker de Auditoria. | Adicionado em Windows Server 2016 e Windows 10. |
| 8034 | Informações do | Falha do Script ManagedInstaller marcar durante a verificação do Appid de * | Adicionado em Windows Server 2016 e Windows 10. |
| 8035 | Erro | ManagedInstaller Script marcar SUCCEEDED durante a verificação de Appid de * | Adicionado em Windows Server 2016 e Windows 10. |
| 8036 | Erro | * foi impedido de ser executado devido à política de CI de Configuração | Adicionado em Windows Server 2016 e Windows 10. |
| 8037 | Informações do | * aprovou a política CI de Configuração e foi autorizada a executar. | Adicionado em Windows Server 2016 e Windows 10. |
| 8038 | Informações do | Informações do Publicador: Assunto: * Emissor: * Índice de assinatura * (* total) | Adicionado em Windows Server 2016 e Windows 10. |
| 8039 | Aviso | O nome da família do pacote * versão * foi autorizado a instalar ou atualizar, mas teria sido impedido se a política DE CONFIGURAÇÃO CI | Adicionado em Windows Server 2016 e Windows 10. |
| 8040 | Erro | O nome da família do pacote * versão * foi impedido de instalar ou atualizar devido à política de CI de Configuração | Adicionado em Windows Server 2016 e Windows 10. |