Freigeben über


Grundlegendes zu App Control-Ereignissen

Übersicht über App Control-Ereignisse

App Control protokolliert Ereignisse, wenn eine Richtlinie geladen wird, wenn eine Datei blockiert wird oder wenn eine Datei im Überwachungsmodus blockiert würde. Diese Blockereignisse enthalten Informationen, die die Richtlinie identifizieren und weitere Details zum Block enthalten. App Control generiert keine Ereignisse, wenn eine Binärdatei zulässig ist. Sie können jedoch Überwachungsereignisse für Dateien zulassen aktivieren, die von einem verwalteten Installationsprogramm oder dem Intelligent Security Graph (ISG) autorisiert wurden, wie weiter unten in diesem Artikel beschrieben.

Core App Control-Ereignisprotokolle

App Control-Ereignisse werden an zwei Speicherorten im Windows-Ereignisanzeige generiert:

  • Anwendungs- und Dienstprotokolle – Microsoft – Windows – CodeIntegrity – Operational umfasst Ereignisse zur Aktivierung von App Control-Richtlinien und zur Steuerung von ausführbaren Dateien, DLLs und Treibern.
  • Anwendungs- und Dienstprotokolle – Microsoft – Windows – AppLocker – MSI und Skript enthalten Ereignisse zur Steuerung von MSI-Installationsprogrammen, Skripts und COM-Objekten.

Die meisten App- und Skriptfehler, die auftreten, wenn die App-Steuerung aktiv ist, können mithilfe dieser beiden Ereignisprotokolle diagnostiziert werden. In diesem Artikel werden die Ereignisse, die in diesen Protokollen vorhanden sind, ausführlicher beschrieben. Informationen zur Bedeutung verschiedener Datenelemente oder Tags in den Details dieser Ereignisse finden Sie unter Grundlegendes zu App Control-Ereignistags.

Hinweis

Anwendungs- und Dienstprotokolle – Microsoft – Windows – AppLocker – MSI- und Script-Ereignisse sind in der Windows Server Core Edition nicht enthalten.

App Control-Blockereignisse für ausführbare Dateien, DLLs und Treiber

Diese Ereignisse befinden sich im CodeIntegrity - Operational-Ereignisprotokoll .

Ereignis-ID Erläuterung
3004 Dieses Ereignis ist nicht üblich und kann mit oder ohne eine App-Steuerungsrichtlinie auftreten. Dies deutet in der Regel darauf hin, dass ein Kerneltreiber versucht hat, mit einer ungültigen Signatur zu laden. Beispielsweise ist die Datei möglicherweise nicht WHQL-signiert auf einem System, auf dem WHQL erforderlich ist.

Dieses Ereignis wird auch für Kernel- oder Benutzermoduscode angezeigt, den der Entwickler für /INTEGRITYCHECK aktiviert hat, aber nicht ordnungsgemäß signiert ist.
3033 Dieses Ereignis kann mit oder ohne eine App Control-Richtlinie auftreten und sollte zusammen mit einem 3077-Ereignis auftreten, wenn es durch die App-Steuerungsrichtlinie verursacht wird. Dies bedeutet häufig, dass die Signatur der Datei widerrufen wird oder eine Signatur mit der EKU "Lifetime Signing" abgelaufen ist. Das Vorhandensein der EKU "Lifetime Signing" ist der einzige Fall, in dem App Control Dateien aufgrund einer abgelaufenen Signatur blockiert. Versuchen Sie, die Option 20 Enabled:Revoked Expired As Unsigned in Ihrer Richtlinie zusammen mit einer Regel (z. B. Hash) zu verwenden, die nicht auf dem gesperrten oder abgelaufenen Zertifikat basiert.

Dieses Ereignis tritt auch auf, wenn mit Code Integrity Guard (CIG) kompilierter Code versucht, anderen Code zu laden, der die CIG-Anforderungen nicht erfüllt.
3034 Dieses Ereignis ist nicht üblich. Dies ist das Überwachungsmodus-Äquivalent zu Ereignis 3033.
3076 Dieses Ereignis ist das Standard App Control-Blockereignis für Überwachungsmodusrichtlinien. Es gibt an, dass die Datei blockiert worden wäre, wenn die Richtlinie erzwungen wurde.
3077 Dieses Ereignis ist das Standard App Control-Blockereignis für erzwungene Richtlinien. Dies weist darauf hin, dass die Datei Ihre Richtlinie nicht bestanden hat und blockiert wurde.
3089 Dieses Ereignis enthält Signaturinformationen für Dateien, die von App Control blockiert oder überwacht wurden. Eines dieser Ereignisse wird für jede Signatur einer Datei erstellt. Jedes Ereignis zeigt die Gesamtzahl der gefundenen Signaturen und einen Indexwert zum Identifizieren der aktuellen Signatur an. Nicht signierte Dateien generieren ein einzelnes dieser Ereignisse mit TotalSignatureCount von 0. Diese Ereignisse korrelieren mit den Ereignissen 3004, 3033, 3034, 3076 und 3077. Sie können die Ereignisse mithilfe der Correlation ActivityID im Systemteil des Ereignisses gefundenen abgleichen.

App Control-Blockereignisse für gepackte Apps, MSI-Installationsprogramme, Skripts und COM-Objekte

Diese Ereignisse befinden sich im Ereignisprotokoll AppLocker – MSI und Script .

Ereignis-ID Erläuterung
8028 Dieses Ereignis gibt an, dass ein Skripthost, z. B. PowerShell, App Control zu einer Datei abgefragt hat, die der Skripthost gerade ausführen möchte. Da sich die Richtlinie im Überwachungsmodus befand, sollte das Skript oder die MSI-Datei ausgeführt werden, hätte aber die App-Steuerungsrichtlinie nicht übergeben, wenn sie erzwungen wurde. Einige Skripthosts enthalten möglicherweise zusätzliche Informationen in ihren Protokollen. Hinweis: Die meisten Skripthosts von Drittanbietern lassen sich nicht in App Control integrieren. Berücksichtigen Sie die Risiken von nicht überprüften Skripts, wenn Sie auswählen, welche Skripthosts Sie ausführen lassen.
8029 Dieses Ereignis entspricht dem Erzwingungsmodus des Ereignisses 8028. Hinweis: Während dieses Ereignis besagt, dass ein Skript blockiert wurde, steuern die Skripthosts das tatsächliche Verhalten der Skripterzwingung. Der Skripthost kann zulassen, dass die Datei mit Einschränkungen ausgeführt wird und die Datei nicht direkt blockiert wird. PowerShell führt beispielsweise Skripts aus, die von Ihrer App-Steuerungsrichtlinie im eingeschränkten Sprachmodus nicht zulässig sind.
8036 DAS COM-Objekt wurde blockiert. Weitere Informationen zur COM-Objektautorisierung finden Sie unter Zulassen der COM-Objektregistrierung in einer App Control for Business-Richtlinie.
8037 Dieses Ereignis gibt an, dass ein Skripthost überprüft hat, ob ein Skript ausgeführt werden kann, und die Datei hat die App-Steuerungsrichtlinie übergeben.
8038 Signaturinformationsereignis, das mit einem 8028- oder 8029-Ereignis korreliert ist. Für jede Signatur einer Skriptdatei wird ein 8038-Ereignis generiert. Enthält die Gesamtzahl der Signaturen in einer Skriptdatei und einen Index, um welche Signatur es sich handelt. Nicht signierte Skriptdateien generieren ein einzelnes 8038-Ereignis mit TotalSignatureCount 0. Diese Ereignisse werden mit 8028- und 8029-Ereignissen korreliert und können mithilfe der Correlation ActivityID im Teil System des Ereignisses gefunden werden.
8039 Dieses Ereignis gibt an, dass eine gepackte App (MSIX/AppX) installiert oder ausgeführt werden darf, da sich die App-Steuerungsrichtlinie im Überwachungsmodus befindet. Sie wäre jedoch blockiert worden, wenn die Richtlinie erzwungen wurde.
8040 Dieses Ereignis gibt an, dass die Installation oder Ausführung einer gepackten App aufgrund der App-Steuerungsrichtlinie verhindert wurde.

App-Steuerungsrichtlinienaktivierungsereignisse

Diese Ereignisse befinden sich im CodeIntegrity - Operational-Ereignisprotokoll .

Ereignis-ID Erläuterung
3095 Die App-Steuerungsrichtlinie kann nicht aktualisiert werden und muss stattdessen neu gestartet werden.
3096 Die App-Steuerungsrichtlinie wurde nicht aktualisiert, da sie bereits auf dem neuesten Stand ist. Die Details dieses Ereignisses enthalten nützliche Informationen zur Richtlinie, z. B. ihre Richtlinienoptionen.
3097 Die App-Steuerungsrichtlinie kann nicht aktualisiert werden.
3099 Gibt an, dass eine Richtlinie geladen wurde. Die Details dieses Ereignisses enthalten nützliche Informationen zur App-Steuerungsrichtlinie, z. B. deren Richtlinienoptionen.
3100 Die App-Steuerungsrichtlinie wurde aktualisiert, aber nicht erfolgreich aktiviert. Wiederholen.
3101 Die Aktualisierung der App-Steuerungsrichtlinie wurde für N-Richtlinien gestartet.
3102 Die Aktualisierung der App-Steuerungsrichtlinie wurde für N-Richtlinien abgeschlossen.
3103 Das System ignoriert die Aktualisierung der App-Steuerungsrichtlinie. Beispielsweise eine Windows-Posteingangsrichtlinie, die die Bedingungen für die Aktivierung nicht erfüllt.
3105 Das System versucht, die App-Steuerungsrichtlinie mit der angegebenen ID zu aktualisieren.

Diagnoseereignisse für Intelligent Security Graph (ISG) und Managed Installer (MI)

Hinweis

Wenn Managed Installer aktiviert ist, sollten Kunden, die LogAnalytics verwenden, beachten, dass managed Installer viele 3091-Ereignisse auslösen kann. Kunden müssen diese Ereignisse möglicherweise herausfiltern, um hohe LogAnalytics-Kosten zu vermeiden.

Die folgenden Ereignisse bieten hilfreiche Diagnoseinformationen, wenn eine App-Steuerungsrichtlinie die ISG- oder MI-Option enthält. Diese Ereignisse können Ihnen beim Debuggen helfen, warum etwas basierend auf dem verwalteten Installationsprogramm oder der ISG zugelassen/verweigert wurde. Die Ereignisse 3090, 3091 und 3092 deuten nicht unbedingt auf ein Problem hin, sollten aber im Kontext mit anderen Ereignissen wie 3076 oder 3077 überprüft werden.

Sofern nicht anders angegeben, werden diese Ereignisse je nach Version von Windows entweder im Ereignisprotokoll CodeIntegrity – Operational oder im Ereignisprotokoll CodeIntegrity – Ausführlich gefunden.

Ereignis-ID Erläuterung
3090 Wahlfrei Dieses Ereignis gibt an, dass eine Datei nur basierend auf ISG oder verwaltetem Installationsprogramm ausgeführt werden darf.
3091 Dieses Ereignis gibt an, dass eine Datei keine ISG- oder verwaltete Installationsprogrammautorisierung hatte und sich die App-Steuerungsrichtlinie im Überwachungsmodus befindet.
3092 Dieses Ereignis entspricht dem Erzwingungsmodus 3091.
8002 Dieses Ereignis befindet sich im Ereignisprotokoll AppLocker – EXE und DLL . Wenn ein Prozess gestartet wird, der mit einer verwalteten Installationsprogrammregel übereinstimmt, wird dieses Ereignis mit PolicyName = MANAGEDINSTALLER ausgelöst, das in den Ereignisdetails gefunden wird. Ereignisse mit PolicyName = EXE oder DLL beziehen sich nicht auf das App-Steuerelement.

Die Ereignisse 3090, 3091 und 3092 werden pro aktiver Richtlinie auf dem System gemeldet, sodass möglicherweise mehrere Ereignisse für dieselbe Datei angezeigt werden.

ISG- und MI-Diagnoseereignisdetails

Die folgenden Informationen finden Sie in den Details zu den Ereignissen 3090, 3091 und 3092.

Name Erläuterung
ManagedInstallerEnabled Gibt an, ob die angegebene Richtlinie die Vertrauensstellung des verwalteten Installationsprogramms aktiviert.
PassesManagedInstaller Gibt an, ob die Datei von einem MI stammt.
SmartlockerEnabled Gibt an, ob die angegebene Richtlinie die ISG-Vertrauensstellung aktiviert.
PassesSmartlocker Gibt an, ob die Datei gemäß ISG einen positiven Ruf hatte.
AuditEnabled True, wenn sich die App Control-Richtlinie im Überwachungsmodus befindet, andernfalls im Erzwingungsmodus
PolicyName Der Name der App Control-Richtlinie, auf die das Ereignis angewendet wird.

Aktivieren von ISG- und MI-Diagnoseereignissen

Um 3090 allow-Ereignisse zu aktivieren, erstellen Sie einen TestFlags-Registrierungsschlüssel mit dem Wert 0x300, wie im folgenden PowerShell-Befehl gezeigt. Starten Sie dann Ihren Computer neu.

reg add hklm\system\currentcontrolset\control\ci -v TestFlags -t REG_DWORD -d 0x300

Die Ereignisse 3091 und 3092 sind in einigen Versionen von Windows inaktiv und werden durch den vorherigen Befehl aktiviert.

Anhang

Eine Liste anderer relevanter Ereignis-IDs und deren entsprechende Beschreibung.

Ereignis-ID Beschreibung
3001 Es wurde versucht, einen nicht signierten Treiber auf das System zu laden.
3002 Die Codeintegrität konnte das Startimage nicht überprüfen, da der Seitenhash nicht gefunden wurde.
3004 Die Codeintegrität konnte die Datei nicht überprüfen, da der Seitenhash nicht gefunden wurde.
3010 Der Katalog, der die Signatur für die zu überprüfende Datei enthält, ist ungültig.
3011 Codeintegrität hat das Laden des Signaturkatalogs abgeschlossen.
3012 Die Codeintegrität hat mit dem Laden des Signaturkatalogs begonnen.
3023 Die zu überprüfende Treiberdatei erfüllte nicht die Anforderungen zum Bestehen der App-Steuerungsrichtlinie.
3024 Windows App Control konnte die Startkatalogdatei nicht aktualisieren.
3026 Microsoft oder die Zertifizierungsstelle hat das Zertifikat widerrufen, das den Katalog signiert hat.
3032 Die Datei, die überprüft wird, wird widerrufen, oder die Datei verfügt über eine Signatur, die widerrufen wird.
3033 Die zu überprüfende Datei erfüllte nicht die Anforderungen zum Bestehen der App-Steuerungsrichtlinie.
3034 Die zu überprüfende Datei würde die Anforderungen zum Übergeben der App-Steuerungsrichtlinie nicht erfüllen, wenn sie erzwungen wurde. Die Datei wurde zugelassen, da sich die Richtlinie im Überwachungsmodus befindet.
3036 Microsoft oder die Zertifizierungsstelle haben das Zertifikat widerrufen, das die zu überprüfende Datei signiert hat.
3064 Wenn die App-Steuerungsrichtlinie erzwungen wurde, erfüllt eine Benutzermodus-DLL, die überprüft wird, nicht die Anforderungen zum Übergeben der App-Steuerungsrichtlinie. Die DLL war zulässig, da sich die Richtlinie im Überwachungsmodus befindet.
3065 Wenn die App-Steuerungsrichtlinie erzwungen wurde, erfüllt eine Benutzermodus-DLL, die überprüft wird, nicht die Anforderungen zum Übergeben der App-Steuerungsrichtlinie.
3074 Seitenhashfehler, während hypervisorgeschützte Codeintegrität aktiviert war.
3075 Dieses Ereignis misst die Leistung der App Control-Richtlinienüberprüfung während der Dateiüberprüfung.
3076 Dieses Ereignis ist das Standard App Control-Blockereignis für Überwachungsmodusrichtlinien. Es gibt an, dass die Datei blockiert worden wäre, wenn die Richtlinie erzwungen wurde.
3077 Dieses Ereignis ist das Standard App Control-Blockereignis für erzwungene Richtlinien. Dies weist darauf hin, dass die Datei Ihre Richtlinie nicht bestanden hat und blockiert wurde.
3079 Die zu überprüfende Datei erfüllte nicht die Anforderungen zum Bestehen der App-Steuerungsrichtlinie.
3080 Wenn sich die App-Steuerungsrichtlinie im erzwungenen Modus befindet, hätte die zu überprüfende Datei die Anforderungen zum Übergeben der App-Steuerungsrichtlinie nicht erfüllt.
3081 Die zu überprüfende Datei erfüllte nicht die Anforderungen zum Bestehen der App-Steuerungsrichtlinie.
3082 Wenn die App-Steuerungsrichtlinie erzwungen wurde, hätte die Richtlinie diesen Nicht-WHQL-Treiber blockiert.
3084 Die Codeintegrität erzwingt die Signaturanforderungen des WHQL-Treibers für diese Startsitzung.
3085 Codeintegrität erzwingt keine Signaturanforderungen für WHQL-Treiber in dieser Startsitzung.
3086 Die zu überprüfene Datei erfüllt nicht die Signaturanforderungen für einen isolierten Benutzermodusprozess (IUM).
3089 Dieses Ereignis enthält Signaturinformationen für Dateien, die von App Control blockiert oder überwacht wurden. Für jede Signatur einer Datei wird ein 3089-Ereignis erstellt.
3090 Wahlfrei Dieses Ereignis gibt an, dass eine Datei nur basierend auf ISG oder verwaltetem Installationsprogramm ausgeführt werden darf.
3091 Dieses Ereignis gibt an, dass eine Datei keine ISG- oder verwaltete Installationsprogrammautorisierung hatte und sich die App-Steuerungsrichtlinie im Überwachungsmodus befindet.
3092 Dieses Ereignis entspricht dem Erzwingungsmodus 3091.
3095 Die App-Steuerungsrichtlinie kann nicht aktualisiert werden und muss stattdessen neu gestartet werden.
3096 Die App-Steuerungsrichtlinie wurde nicht aktualisiert, da sie bereits auf dem neuesten Stand ist.
3097 Die App-Steuerungsrichtlinie kann nicht aktualisiert werden.
3099 Gibt an, dass eine Richtlinie geladen wurde. Dieses Ereignis enthält auch Informationen zu den Optionen, die von der App-Steuerungsrichtlinie festgelegt werden.
3100 Die App-Steuerungsrichtlinie wurde aktualisiert, aber nicht erfolgreich aktiviert. Wiederholen.
3101 Das System hat mit dem Aktualisieren der App-Steuerungsrichtlinie begonnen.
3102 Das System hat die Aktualisierung der App-Steuerungsrichtlinie abgeschlossen.
3103 Das System ignoriert die Aktualisierung der App-Steuerungsrichtlinie.
3104 Die datei, die überprüft wird, erfüllt nicht die Signierungsanforderungen für einen PPL-Prozess (Protected Process Light).
3105 Das System versucht, die App-Steuerungsrichtlinie zu aktualisieren.
3108 Das Windows-Modusänderungsereignis war erfolgreich.
3110 Das Windows-Modusänderungsereignis war nicht erfolgreich.
3111 Die zu überprüfende Datei erfüllte nicht die Hypervisor-geschützte Codeintegritätsrichtlinie (HVCI).
3112 Windows hat das Zertifikat widerrufen, das die zu überprüfende Datei signiert hat.
3114 Dynamic Code Security hat die .NET-App oder DLL für die Überprüfung der App-Steuerungsrichtlinie aktiviert. Die Datei, die überprüft wird, hat Ihre Richtlinie nicht bestanden und wurde blockiert.