Appidsvc что это за служба
Перейти к содержимому

Appidsvc что это за служба

Настройка службы удостоверений приложения

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

В этом разделе для ИТ-специалистов показано, как настроить службу удостоверений приложений для автоматического или ручного запуска.

Служба удостоверений приложений определяет и проверяет удостоверение приложения. Остановка этой службы предотвратит применение политик AppLocker.

Важно: При использовании групповой политики необходимо настроить ее для автоматического запуска по крайней мере в одном объекте групповой политики (GPO), который применяет правила AppLocker. Это объясняется тем, что AppLocker использует эту службу для проверки атрибутов файла.

Автоматическое запуск службы идентификации приложений с помощью групповой политики

  1. На экране Начните введите gpmc.msc, чтобы открыть консоль управления групповой политикой (GPMC).
  2. Найдите GPO для редактирования, щелкните правой кнопкой мыши GPO и нажмите кнопку Изменить.
  3. В дереве консоли в статье Конфигурация компьютера\Windows Параметры\Security Параметрыщелкните System Services.
  4. В области сведений дважды щелкните идентификатор приложения.
  5. В свойствах удостоверений приложенийнастройте службу для автоматического запуска.

Членство в локальной группе администраторов — это минимальный доступ, необходимый для выполнения этой процедуры.

Запуск службы удостоверений приложений вручную

  1. Щелкните правой кнопкой мыши панель задач и щелкните Диспетчер задач.
  2. Щелкните вкладку Services, щелкните правой кнопкой мыши AppIDSvcи нажмите кнопку Начните службу.
  3. Убедитесь, что состояние службы удостоверений приложений запущено.

Начиная с Windows 10, служба удостоверений приложений теперь является защищенным процессом. Из-за этого вы больше не можете **** вручную настроить тип запуска службы на автоматический с помощью оснастки Services. Попробуйте один из этих методов:

Sysadminium

В этой статье я просто перечисляю системные компоненты безопасности, которые используются в системе Windows. И даю краткое описание каждому компоненту.

Монитор безопасности (SRM)

SRM (Security reference monitor) находится в исполняющей системе (ntoskrnl.exe), это значит, что он работает в режиме ядра. Коротко говоря, этот монитор отвечает за проверку того, может ли один объект получить доступ к другому объекту.

А также этот монитор использует специальный драйвер (Ksecdd.sys) который работает в режиме ядра. Именно он реализует систему вызовов (ALPC), которая используется для обмена между CRM (режим ядра) и LSASS (пользовательский режим).

Подсистема локальной авторизации (LSASS)

LSASS (Local Security Authority Subsystem Service) – это подсистема локальной авторизации, которая работает в процессе пользовательского режима lsass.exe.

Короче говоря эта подсистема отвечает за политику безопасности локальной системы, аутентификацию и отправку сообщений в журнал событий (Event Log). У этой подсистемы есть своя база данных с настройками политик безопасности локальной системы. Хранится она в реестре HKLM\Security и защищена ACL.

Если посмотреть внимательнее на этот процесс в “Process Explorer“, то можно заметить, что он управляет несколькими службами:

SamSs (диспетчер учетных записей безопасности) – управляется базой данных пользователей на локальной машине. База данных SAM содержит имена локальных пользователей, их группы и пароли, а также другие атрибуты. Эта база данных хранится в реестре HKLM\SAM.

Netlogon (сетевой вход в систему). Обеспечивает безопасный канал связи между компьютером и контроллером домена для проверки пользователей и служб.

Keylso (изоляция ключей CNG). Хранит приватные ключи в процессе lsass.exe. Напрямую служба не связана с криптографией, но она обеспечивает долговечное хранение криптографической информации.

VaultSvc (диспетчер учетных данных). Обеспечивает защищенное хранение и извлечение учетных данных пользователей, приложений и служебных пакетов. Она необходима, например, для авторизации в Магазине Windows.

Здесь вам встретились две базы данных: Security и SAM, которые хранятся в реестре Windows. Чтобы попасть в разделы HKLM\Security и HKLM\SAM нужно открыть редактор реестра от имени локальной системы. Это можно сделать с помощью PsExec, входящего в набор Windows Sysinternals:

Служба каталогов (AD)

Служба Active Directory (AD) – это технология позволяет объединить различные объекты сети в единую систему. Она управляется одноименной базой данных. В которой хранится информация о пользователях, группах, компьютерах, а также там хранятся политики домена и привилегии пользователей.

Для реализации этой технологии, необходим специальный сервер – контроллер домена. Именно он хранит базу данных, а если таких серверов в домене несколько, то эта база реплицируется на все контроллеры домена.

А также контроллер домена выполняет функции аутентификации пользователей и устройств в сети. При попытке использовать любой из объектов (компьютер, сервер, принтер), выполняется обращение к контроллеру домена, который либо разрешает это действие, либо не разрешает.

Appidsvc что это за служба

Нашел решение так:

Win + R — Regedit

[HKLM\System\CurrentControlSet\services\AppIDSvc]
Параметру Start (REG_DWORD) задаем значение 2 (по умолчанию было 3).

[HKLM\System\CurrentControlSet\services\AppID]
Параметру Start (REG_DWORD) задаем значение 2 (по умолчанию было 3).

Перезагрузка, и видим, что служба "Удостоверение приложения" — Авто — Выполняется.

Проверить можно так:

Идем Просмотр событий — Журналы приложений и служб — AppLocker — EXE и DLL.
Там должны быть Коды событий (у меня 8001 и 8002, что значит — успех).
Если у вас другие Коды событий, проверить можно тут внизу страницы.

Добавить комментарий

Ваш адрес email не будет опубликован.