Partager via


Présentation des événements App Control

Vue d’ensemble des événements de contrôle d’application

App Control journalise les événements lorsqu’une stratégie est chargée, lorsqu’un fichier est bloqué ou lorsqu’un fichier est bloqué s’il est en mode audit. Ces événements de bloc incluent des informations qui identifient la stratégie et fournissent plus de détails sur le bloc. Le contrôle d’application ne génère pas d’événements lorsqu’un fichier binaire est autorisé. Toutefois, vous pouvez activer l’autorisation des événements d’audit pour les fichiers autorisés par un programme d’installation managé ou l’Intelligent Security Graph (ISG) comme décrit plus loin dans cet article.

Journaux des événements Core App Control

Les événements App Control sont générés à deux emplacements dans le observateur d'événements Windows :

  • Journaux des applications et des services - Microsoft - Windows - CodeIntegrity - Opérationnel inclut des événements sur l’activation de stratégie App Control et le contrôle des exécutables, dlls et pilotes.
  • Journaux des applications et des services - Microsoft - Windows - AppLocker - MSI et Script incluent des événements sur le contrôle des programmes d’installation MSI, des scripts et des objets COM.

La plupart des échecs d’application et de script qui se produisent lorsque App Control est actif peuvent être diagnostiqués à l’aide de ces deux journaux d’événements. Cet article décrit plus en détail les événements qui existent dans ces journaux. Pour comprendre la signification des différents éléments de données, ou balises, trouvés dans les détails de ces événements, consultez Présentation des étiquettes d’événement App Control.

Remarque

Les journaux des applications et des services - Microsoft - Windows - AppLocker - MSI et Script ne sont pas inclus dans Windows Server Core Edition.

Événements de blocage de contrôle d’application pour les exécutables, dll et pilotes

Ces événements se trouvent dans le journal des événements CodeIntegrity - Operational .

ID d’événement Explication
3004 Cet événement n’est pas courant et peut se produire avec ou sans stratégie de contrôle d’application présente. Cela indique généralement qu’un pilote de noyau a tenté de charger avec une signature non valide. Par exemple, le fichier peut ne pas être signé WHQL sur un système où WHQL est requis.

Cet événement est également visible pour le code en mode noyau ou utilisateur que le développeur a choisi /INTEGRITYCHECK , mais qui n’est pas signé correctement.
3033 Cet événement peut se produire avec ou sans stratégie De contrôle d’application et doit se produire en même temps qu’un événement 3077 s’il est provoqué par la stratégie App Control. Cela signifie souvent que la signature du fichier est révoquée ou qu’une signature avec la référence EKU de signature à durée de vie a expiré. La présence de la référence EKU de signature de durée de vie est le seul cas où le contrôle d’application bloque les fichiers en raison d’une signature expirée. Essayez d’utiliser l’option 20 Enabled:Revoked Expired As Unsigned dans votre stratégie avec une règle (par exemple, le hachage) qui ne repose pas sur le certificat révoqué ou expiré.

Cet événement se produit également si le code compilé avec Code Integrity Guard (CIG) tente de charger un autre code qui ne répond pas aux exigences cig.
3034 Cet événement n’est pas courant. Il s’agit du mode d’audit équivalent à l’événement 3033.
3076 Cet événement est l’événement de bloc main App Control pour les stratégies en mode audit. Il indique que le fichier aurait été bloqué si la stratégie avait été appliquée.
3077 Cet événement est l’événement de blocage main App Control pour les stratégies appliquées. Cela indique que le fichier n’a pas réussi votre stratégie et a été bloqué.
3089 Cet événement contient des informations de signature pour les fichiers qui ont été bloqués ou audités par App Control. L’un de ces événements est créé pour chaque signature d’un fichier. Chaque événement affiche le nombre total de signatures trouvées et une valeur d’index pour identifier la signature actuelle. Les fichiers non signés génèrent un seul de ces événements avec TotalSignatureCount de 0. Ces événements sont corrélés avec les événements 3004, 3033, 3034, 3076 et 3077. Vous pouvez faire correspondre les événements à l’aide du Correlation ActivityID qui se trouve dans la partie Système de l’événement.

Événements de blocage de contrôle d’application pour les applications empaquetées, les programmes d’installation MSI, les scripts et les objets COM

Ces événements se trouvent dans le journal des événements AppLocker - MSI et Script .

ID d’événement Explication
8028 Cet événement indique qu’un hôte de script, tel que PowerShell, a interrogé App Control sur un fichier que l’hôte de script était sur le point d’exécuter. Étant donné que la stratégie était en mode audit, le script ou le fichier MSI aurait dû s’exécuter, mais n’aurait pas réussi la stratégie De contrôle d’application si elle avait été appliquée. Certains hôtes de script peuvent avoir des informations supplémentaires dans leurs journaux. Remarque : la plupart des hôtes de script tiers ne s’intègrent pas à App Control. Tenez compte des risques liés aux scripts non vérifiés lors du choix des hôtes de script que vous autorisez à exécuter.
8029 Cet événement est l’équivalent du mode d’application de l’événement 8028. Remarque : Bien que cet événement indique qu’un script a été bloqué, les hôtes de script contrôlent le comportement d’application de script réel. L’hôte de script peut autoriser le fichier à s’exécuter avec des restrictions et ne pas bloquer le fichier. Par exemple, PowerShell exécute un script non autorisé par votre stratégie De contrôle d’application en mode de langage limité.
8036 L’objet COM a été bloqué. Pour en savoir plus sur l’autorisation d’objet COM, consultez Autoriser l’inscription d’objets COM dans une stratégie App Control for Business.
8037 Cet événement indique qu’un hôte de script a vérifié s’il faut autoriser l’exécution d’un script et que le fichier a passé la stratégie De contrôle d’application.
8038 Événement d’informations de signature corrélé à un événement 8028 ou 8029. Un événement 8038 est généré pour chaque signature d’un fichier de script. Contient le nombre total de signatures sur un fichier de script et un index pour déterminer la signature qu’il contient. Les fichiers de script non signés génèrent un seul événement 8038 avec TotalSignatureCount 0. Ces événements sont corrélés aux événements 8028 et 8029 et peuvent être mis en correspondance à l’aide du Correlation ActivityID trouvé dans la partie Système de l’événement.
8039 Cet événement indique qu’une application empaquetée (MSIX/AppX) a été autorisée à s’installer ou à s’exécuter, car la stratégie De contrôle d’application est en mode audit. Mais elle aurait été bloquée si la stratégie avait été appliquée.
8040 Cet événement indique qu’une application empaquetée a été empêchée d’installer ou de s’exécuter en raison de la stratégie De contrôle d’application.

Événements d’activation de stratégie App Control

Ces événements se trouvent dans le journal des événements CodeIntegrity - Operational .

ID d’événement Explication
3095 La stratégie De contrôle d’application ne peut pas être actualisée et doit être redémarré à la place.
3096 La stratégie De contrôle d’application n’a pas été actualisée, car elle est déjà à jour. Les détails de cet événement incluent des informations utiles sur la stratégie, telles que ses options de stratégie.
3097 La stratégie De contrôle d’application ne peut pas être actualisée.
3099 Indique qu’une stratégie a été chargée. Les détails de cet événement incluent des informations utiles sur la stratégie App Control, telles que ses options de stratégie.
3100 La stratégie De contrôle d’application a été actualisée, mais elle n’a pas pu être activée. Réessayer.
3101 L’actualisation de la stratégie De contrôle d’application a démarré pour N stratégies.
3102 L’actualisation de la stratégie De contrôle d’application s’est terminée pour N stratégies.
3103 Le système ignore l’actualisation de la stratégie App Control. Par exemple, une stratégie Windows de boîte de réception qui ne remplit pas les conditions d’activation.
3105 Le système tente d’actualiser la stratégie App Control avec l’ID spécifié.

Événements de diagnostic pour Intelligent Security Graph (ISG) et Managed Installer (MI)

Remarque

Lorsque Managed Installer est activé, les clients qui utilisent LogAnalytics doivent savoir que managed Installer peut déclencher de nombreux événements 3091. Les clients peuvent avoir besoin de filtrer ces événements pour éviter des coûts élevés de LogAnalytics.

Les événements suivants fournissent des informations de diagnostic utiles lorsqu’une stratégie App Control inclut l’option ISG ou MI. Ces événements peuvent vous aider à déboguer la raison pour laquelle quelque chose a été autorisé/refusé en fonction du programme d’installation managé ou de l’ISG. Les événements 3090, 3091 et 3092 n’indiquent pas nécessairement un problème, mais doivent être examinés en contexte avec d’autres événements tels que 3076 ou 3077.

Sauf indication contraire, ces événements se trouvent dans le journal des événements CodeIntegrity - Operational ou dans le journal des événements CodeIntegrity - Verbose en fonction de votre version de Windows.

ID d’événement Explication
3090 Optionnel Cet événement indique qu’un fichier a été autorisé à s’exécuter en fonction de l’ISG ou du programme d’installation managé.
3091 Cet événement indique qu’un fichier n’avait pas d’autorisation ISG ou programme d’installation managé et que la stratégie De contrôle d’application est en mode audit.
3092 Cet événement est l’équivalent du mode d’application 3091.
8002 Cet événement se trouve dans le journal des événements AppLocker - EXE et DLL . Lorsqu’un processus se lance qui correspond à une règle de programme d’installation managée, cet événement est déclenché avec PolicyName = MANAGEDINSTALLER trouvé dans les détails de l’événement. Les événements avec PolicyName = EXE ou DLL ne sont pas liés au contrôle d’application.

Les événements 3090, 3091 et 3092 sont signalés par stratégie active sur le système. Vous pouvez donc voir plusieurs événements pour le même fichier.

Détails des événements de diagnostic ISG et MI

Les informations suivantes se trouvent dans les détails des événements 3090, 3091 et 3092.

Nom Explication
ManagedInstallerEnabled Indique si la stratégie spécifiée active l’approbation du programme d’installation managée
PassesManagedInstaller Indique si le fichier provient d’un mi
SmartlockerEnabled Indique si la stratégie spécifiée active l’approbation ISG
PassesSmartlocker Indique si le fichier avait une réputation positive selon l’ISG
AuditEnabled True si la stratégie De contrôle d’application est en mode audit ; sinon, elle est en mode d’application
PolicyName Nom de la stratégie de contrôle d’application à laquelle l’événement s’applique

Activation des événements de diagnostic ISG et MI

Pour activer les événements d’autorisation 3090, créez une clé de registre TestFlags avec la valeur 0x300 comme indiqué dans la commande PowerShell suivante. Redémarrez ensuite votre ordinateur.

reg add hklm\system\currentcontrolset\control\ci -v TestFlags -t REG_DWORD -d 0x300

Les événements 3091 et 3092 sont inactifs sur certaines versions de Windows et sont activés par la commande précédente.

Annexe

Liste d’autres ID d’événement pertinents et leur description correspondante.

ID d’événement Description
3001 Un pilote non signé a été tenté de charger sur le système.
3002 L’intégrité du code n’a pas pu vérifier l’image de démarrage, car le hachage de page est introuvable.
3004 L’intégrité du code n’a pas pu vérifier le fichier, car le hachage de page est introuvable.
3010 Le catalogue contenant la signature du fichier en cours de validation n’est pas valide.
3011 L’intégrité du code a terminé le chargement du catalogue de signatures.
3012 L’intégrité du code a commencé à charger le catalogue de signatures.
3023 Le fichier de pilote en cours de validation ne répondait pas aux conditions requises pour passer la stratégie App Control.
3024 Windows App Control n’a pas pu actualiser le fichier de catalogue de démarrage.
3026 Microsoft ou l’autorité émettrice du certificat ont révoqué le certificat qui a signé le catalogue.
3032 Le fichier en cours de validation est révoqué ou le fichier a une signature qui est révoquée.
3033 Le fichier en cours de validation ne répondait pas aux conditions requises pour passer la stratégie App Control.
3034 Le fichier en cours de validation ne remplit pas les conditions requises pour passer la stratégie De contrôle d’application si elle a été appliquée. Le fichier a été autorisé, car la stratégie est en mode audit.
3036 Microsoft ou l’autorité émettrice du certificat a révoqué le certificat qui a signé le fichier en cours de validation.
3064 Si la stratégie De contrôle d’application a été appliquée, une DLL en mode utilisateur en cours de validation ne répond pas aux exigences pour passer la stratégie De contrôle d’application. La DLL a été autorisée, car la stratégie est en mode audit.
3065 Si la stratégie De contrôle d’application a été appliquée, une DLL en mode utilisateur en cours de validation ne répond pas aux exigences pour passer la stratégie De contrôle d’application.
3074 Échec du hachage de page pendant que l’intégrité du code protégé par l’hyperviseur a été activée.
3075 Cet événement mesure les performances de la stratégie App Control case activée lors de la validation de fichier.
3076 Cet événement est l’événement de bloc main App Control pour les stratégies en mode audit. Il indique que le fichier aurait été bloqué si la stratégie avait été appliquée.
3077 Cet événement est l’événement de blocage main App Control pour les stratégies appliquées. Cela indique que le fichier n’a pas réussi votre stratégie et a été bloqué.
3079 Le fichier en cours de validation ne répondait pas aux conditions requises pour passer la stratégie App Control.
3080 Si la stratégie App Control était en mode appliqué, le fichier en cours de validation n’aurait pas rempli les conditions requises pour passer la stratégie App Control.
3081 Le fichier en cours de validation ne répondait pas aux conditions requises pour passer la stratégie App Control.
3082 Si la stratégie De contrôle d’application a été appliquée, la stratégie aurait bloqué ce pilote non WHQL.
3084 L’intégrité du code applique les exigences de signature du pilote WHQL sur cette session de démarrage.
3085 L’intégrité du code n’applique pas les exigences de signature du pilote WHQL sur cette session de démarrage.
3086 Le fichier en cours de validation ne répond pas aux exigences de signature d’un processus en mode utilisateur isolé (IUM).
3089 Cet événement contient des informations de signature pour les fichiers qui ont été bloqués ou audités par App Control. Un événement 3089 est créé pour chaque signature d’un fichier.
3090 Optionnel Cet événement indique qu’un fichier a été autorisé à s’exécuter en fonction de l’ISG ou du programme d’installation managé.
3091 Cet événement indique qu’un fichier n’avait pas d’autorisation ISG ou programme d’installation managé et que la stratégie De contrôle d’application est en mode audit.
3092 Cet événement est l’équivalent du mode d’application 3091.
3095 La stratégie De contrôle d’application ne peut pas être actualisée et doit être redémarré à la place.
3096 La stratégie De contrôle d’application n’a pas été actualisée, car elle est déjà à jour.
3097 La stratégie De contrôle d’application ne peut pas être actualisée.
3099 Indique qu’une stratégie a été chargée. Cet événement inclut également des informations sur les options définies par la stratégie App Control.
3100 La stratégie De contrôle d’application a été actualisée, mais elle n’a pas pu être activée. Réessayer.
3101 Le système a commencé à actualiser la stratégie App Control.
3102 Le système a terminé l’actualisation de la stratégie App Control.
3103 Le système ignore l’actualisation de la stratégie App Control.
3104 Le fichier en cours de validation ne répond pas aux exigences de signature d’un processus PPL (protected process light).
3105 Le système tente d’actualiser la stratégie De contrôle d’application.
3108 L’événement de modification du mode Windows a réussi.
3110 Échec de l’événement de modification du mode Windows.
3111 Le fichier en cours de validation ne répondait pas à la stratégie d’intégrité du code protégé par l’hyperviseur (HVCI).
3112 Windows a révoqué le certificat qui a signé le fichier en cours de validation.
3114 Dynamic Code Security a choisi l’application ou la DLL .NET dans la validation de stratégie De contrôle d’application. Le fichier en cours de validation n’a pas réussi votre stratégie et a été bloqué.