top of page
Buscar

Compreender os eventos do Controlo(e) de Aplicações

  • automatisolucoes
  • há 1 dia
  • 3 min de leitura

Clique aqui, para acessar o site da learn Microsof par visualizar a imagem original.


Descrição Geral dos Eventos de Controlo de Aplicações

O Controlo de Aplicações regista eventos quando uma política é carregada, quando um ficheiro é bloqueado ou quando um ficheiro seria bloqueado se estivesse no modo de auditoria. Estes eventos de bloqueio incluem informações que identificam a política e fornecem mais detalhes sobre o bloco. O Controlo de Aplicações não gera eventos quando é permitido um binário. No entanto, pode ativar a opção permitir eventos de auditoria para ficheiros autorizados por um instalador gerido ou pelo Gráfico de Segurança Inteligente (ISG), conforme descrito mais adiante neste artigo.

Registos de eventos do Controlo de Aplicações Principais

Os eventos do Controlo de Aplicações são gerados em duas localizações no Windows Visualizador de Eventos:

  • Registos de Aplicações e Serviços – Microsoft – Windows – Integridade do Código – Operacional inclui eventos sobre a ativação da política de Controlo de Aplicações e o controlo de executáveis, dlls e controladores.

  • Registos de Aplicações e Serviços – Microsoft – Windows – AppLocker – MSI e Script incluem eventos sobre o controlo de instaladores, scripts e objetos COM do MSI.

A maioria das falhas de aplicações e scripts que ocorrem quando o Controlo de Aplicações está ativo pode ser diagnosticada com estes dois registos de eventos. Este artigo descreve com maior detalhe os eventos que existem nestes registos. Para compreender o significado de diferentes elementos de dados ou etiquetas, encontrados nos detalhes destes eventos, veja Compreender as etiquetas de eventos do Controlo de Aplicações.

O Controlo de Aplicações bloqueia eventos para executáveis, dlls e controladores

Estes eventos encontram-se no registo de eventos CodeIntegrity – Operational .

O Controlo de Aplicações bloqueia eventos para aplicações em pacote, instaladores MSI, scripts e objetos COM

Estes eventos encontram-se no registo de eventos AppLocker – MSI e Script .

Eventos de ativação da política de Controlo de Aplicações

Estes eventos encontram-se no registo de eventos CodeIntegrity – Operational .

Os seguintes eventos fornecem informações de diagnóstico úteis quando uma política de Controlo de Aplicações inclui a opção ISG ou MI. Estes eventos podem ajudá-lo a depurar o motivo pelo qual algo foi permitido/negado com base no instalador gerido ou no ISG. Os eventos 3090, 3091 e 3092 não indicam necessariamente um problema, mas devem ser revistos em contexto com outros eventos como 3076 ou 3077.

Salvo indicação em contrário, estes eventos encontram-se no registo de eventos Integridade do Código – Integridade Operacional ou Integridade do Código – Verboso , consoante a sua versão do Windows.

Expandir a tabela

Os eventos 3090, 3091 e 3092 são reportados por política ativa no sistema, pelo que poderá ver vários eventos para o mesmo ficheiro.

Detalhes do evento de diagnóstico ISG e MI

As seguintes informações encontram-se nos detalhes dos eventos 3090, 3091 e 3092.

Ativar eventos de diagnóstico ISG e MI

Para ativar eventos de permissão 3090, crie uma chave de registo TestFlags com um valor de 0x300 conforme mostrado no seguinte comando do PowerShell. Em seguida, reinicie o computador.

Os eventos 3091 e 3092 estão inativos em algumas versões do Windows e são ativados pelo comando anterior.
Os eventos 3091 e 3092 estão inativos em algumas versões do Windows e são ativados pelo comando anterior.

Apêndice

Uma lista de outros IDs de evento relevantes e a respetiva descrição correspondente.


 
 
 

Σχόλια

Post: Blog2_Post
  • Facebook
  • Twitter
  • LinkedIn
  • Instagram

©2019 por automatisolucoes.sat. Orgulhosamente criado com Wix.com

bottom of page