Технический справочник по управляемому установщику и ISG, а также руководство по устранению неполадок

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

Включение событий ведения журнала управляемого установщика и графа интеллектуальной безопасности (ISG)

Сведения о включении необязательных диагностических событий управляемого установщика см. в статье Общие сведения о событиях управления приложениями .

Использование fsutil для запроса расширенных атрибутов для управляемого установщика (MI)

Клиенты, использующие элемент управления приложениями для бизнеса с включенным управляемым установщиком (MI), могут использовать fsutil.exe, чтобы определить, был ли файл создан процессом управляемого установщика. Эта проверка выполняется путем запроса расширенных атрибутов (EAs) в файле с помощью fsutil.exe и поиска ядра. SMARTLOCKER. ORIGINCLAIM EA. Затем можно использовать данные из первой строки выходных данных, чтобы определить, был ли файл создан управляемым установщиком. Например, рассмотрим выходные данные fsutil.exe для файла с именем application.exe:

Пример.

fsutil.exe file queryEA C:\Users\Temp\Downloads\application.exe

Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:

Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e

В приведенных выше выходных данных найдите первую строку данных с меткой "0000:", за которой следуют 16 наборов двух символов. Каждые четыре набора образуют группу, известную как ULONG. Набор двух символов в передней части первого ULONG всегда будет иметь значение "01", как показано ниже:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00

Если в пятой позиции выходных данных (начало второго ULONG) есть значение "00", это означает, что EA связан с управляемым установщиком:

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00

Наконец, набор двух символов в девятой позиции выходных данных (начало третьего ULONG) указывает, был ли файл создан процессом, запущенным в качестве управляемого установщика. Значение "00" означает, что файл был непосредственно записан процессом управляемого установщика и будет запущен, если ваша политика управления приложениями доверяет управляемым установщикам.

0000: 01 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00

Если вместо этого начальное значение для третьего ULONG — "02", то это указывает на "дочерний дочерний". "Дочерний дочерний" задается для всех файлов, созданных объектом, установленным управляемым установщиком. Но файл был создан после завершения работы управляемого установщика. Таким образом, этот файл не будет разрешен к запуску, если в вашей политике нет другого правила, разрешая его.

В редких случаях в этой позиции могут отображаться другие значения, но они также будут выполняться, если ваша политика доверяет управляемому установщику.

Использование fsutil для запроса расширенных атрибутов для Intelligent Security Graph (ISG)

При запуске установщика с хорошей репутацией в соответствии с ISG файлы, записываемые установщиком на диск, наследуют репутацию от установщика. Эти файлы с наследуемым доверием ISG также будут иметь kernel. SMARTLOCKER. ORIGINCLAIM EA задайте, как описано выше для управляемых установщиков. Вы можете определить, что ea был создан ISG, найдите значение "01" в пятой позиции выходных данных (начало второго ULONG) из fsutil:

0000: 01 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00

Дополнительные действия по устранению неполадок для управляемого установщика и ISG

И управляемый установщик, и ISG зависят от AppLocker для предоставления некоторых функциональных возможностей. Выполните следующие действия, чтобы убедиться, что AppLocker настроен и работает правильно.

  1. Убедитесь, что службы AppLocker запущены. В окне PowerShell с повышенными привилегиями выполните следующую команду и убедитесь, что state отображается как RUNNING для appidsvc и AppLockerFltr:

    sc.exe query appidsvc
    SERVICE_NAME: appidsvc
    TYPE               : 30  WIN32
    STATE              : 4  RUNNING
                            (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT         : 0x0
    WAIT_HINT          : 0x0
sc.exe query AppLockerFltr
    SERVICE_NAME: applockerfltr
    TYPE               : 1  KERNEL_DRIVER
    STATE              : 4  RUNNING
                            (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT         : 0x0
    WAIT_HINT          : 0x0

    Если нет, выполните appidtel start из окна PowerShell с повышенными привилегиями и проверка снова.

  2. Для управляемого установщика проверка для AppCache.dat и других *. Файлы AppLocker, созданные в папке %windir%\System32\AppLocker. Должно быть минимальное значение . Файл AppLocker", созданный для каждой коллекции правил EXE, DLL и MANAGEDINSTALLER. Если эти файлы не созданы, перейдите к следующему шагу, чтобы убедиться, что политика AppLocker применена правильно.

  3. Для устранения неполадок с управляемым установщиком проверка, что действующая политика AppLocker верна. В окне PowerShell с повышенными привилегиями:

    Get-AppLockerPolicy -Effective -XML > $env:USERPROFILE\Desktop\AppLocker.xml

    Затем откройте созданный XML-файл и убедитесь, что он содержит ожидаемые правила. В частности, политика должна включать по крайней мере одно правило для каждого набора правил EXE, DLL и MANAGEDINSTALLER RuleCollections. Для параметра RuleCollections можно задать значение AuditOnly или Включено. Кроме того, exe и DLL RuleCollections должны включать конфигурацию RuleCollectionExtensions, как показано в статье Автоматическое разрешение приложений, развернутых управляемым установщиком с помощью элемента управления приложениями для бизнеса.