Wie prüfe ich, ob der Compatibility Appraiser aktiviert ist?

Get-ScheduledTask -TaskPath '\Microsoft\Windows\Application Experience\' -TaskName 'Microsoft Compatibility Appraiser' aus elevierter PowerShell. Prüfen Sie sowohl den State (sollte Ready oder Running sein) als auch die LastRunTime (sollte innerhalb des erwarteten Taktes liegen).

Wie prüfe ich, ob Telemetrie per Richtlinie deaktiviert ist?

reg query 'HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection' /v AllowTelemetry. Ein Wert von 0 deaktiviert in vielen Builds CEIP-abgeleitete Komponenten einschließlich des Compatibility Appraisers.

Warum ist Amcache auf einem frischen Image leer?

Frisch abgebildete Windows-Hosts haben ein nahezu leeres Amcache, weil der Appraiser noch nicht gelaufen ist. Warten Sie 24 Stunden normale Nutzung auf einer Workstation oder mehrere Tage auf einem Server, und die Hive wird sich füllen.

Warum ist die Amcache meines Servers so klein?

Server lassen den Appraiser seltener laufen als Workstations (typisch: alle 2-5 Tage für Server mit Desktop Experience; wöchentlich oder seltener für Server Core). Weniger interaktive Aktivität bedeutet auch weniger Inventareinträge. Eine Server-Hive von 5-10 MB nach einem Jahr ist normal.

Könnte ein Angreifer Amcache geleert haben?

Möglicherweise — aber unüblich. Die meisten Angreifer machen sich nicht die Mühe. Wenn Sie Manipulation vermuten, parsen Sie die Versionen der Hive aller Volume Shadow Copies und vergleichen Sie sie mit der Live-Hive. Einträge, die in Schatten vorhanden, aber in der Live-Hive abwesend sind, sind Beweis für absichtliche Bereinigung.

Warum ist meine Amcache.hve leer oder spärlich?

Drei häufige Ursachen. (1) Der geplante Task Compatibility Appraiser ist deaktiviert — durch Group Policy (AllowTelemetry=0), durch Build-Konfiguration oder durch manuelle Deaktivierung. Die Hive existiert, aber der Appraiser hört auf, in sie zu schreiben. (2) Der Host wurde innerhalb der letzten 24 Stunden frisch installiert oder abgebildet, und der Appraiser ist noch nicht gelaufen. (3) Sie sammeln von einem Server (besonders Server Core), auf dem der Appraiser alle paar Tage oder Wochen läuft statt täglich. Prüfen Sie die LastRunTime des geplanten Tasks, den Registry-Wert AllowTelemetry und die KeyLastWriteTimestamp-Verteilung der Hive, um zu diagnostizieren, in welchem Fall Sie sind.

Warum ist meine Amcache.hve leer?

Drei häufige Ursachen, in grober Reihenfolge der Wahrscheinlichkeit:

1. Der Compatibility Appraiser ist deaktiviert#

Das ist die häufigste Ursache auf Produktionsservern und gehärteten Endpoints. Die Hive-Datei existiert, aber der geplante Task, der in sie schreibt, ist deaktiviert, sodass keine neuen Einträge hinzugefügt werden.

So prüfen Sie:

# Is the task enabled?
Get-ScheduledTask `
  -TaskPath '\Microsoft\Windows\Application Experience\' `
  -TaskName 'Microsoft Compatibility Appraiser' |
  Select-Object State, LastRunTime, LastTaskResult
 
# Is telemetry disabled by GPO?
reg query 'HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection' /v AllowTelemetry

Anzeichen, dass der Appraiser deaktiviert ist:

Task State = Disabled.
LastRunTime entspricht dem Installationsdatum des Hosts oder einem weit zurückliegenden Datum.
AllowTelemetry = 0 (besonders auf Servern).

Wenn der Appraiser absichtlich deaktiviert ist, ist Amcache kein nützliches Artefakt für Ereignisse nach der Deaktivierung. Pivotieren Sie zu Sysmon, EDR, Sicherheitsereignisprotokoll, MFT.

2. Der Host wurde frisch installiert#

Ein frisch abgebildeter Windows-Host hat ein nahezu leeres Amcache, weil der Appraiser noch nicht gelaufen ist.

Workstations: Der erste Appraiser-Durchlauf wird typischerweise innerhalb von 24 Stunden nach dem ersten Boot abgeschlossen, manchmal während der initialen Out-of-Box-Experience.

Server: Der erste Appraiser-Durchlauf kann 2-5 Tage dauern.

Vergleichen Sie den kleinsten KeyLastWriteTimestamp der Hive mit dem Installationsdatum des Hosts. Wenn sie übereinstimmen und der Host brandneu ist, wird sich die Hive füllen, wenn der Appraiser läuft.

3. Sie sammeln von einem Server (besonders Server Core)#

Server-Takte sind viel langsamer als Workstations:

Host-Typ	Appraiser-Takt
Workstation (Windows 10/11)	~24 Stunden
Server mit Desktop Experience	2-5 Tage
Server Core	Wöchentlich oder seltener
Gehärteter Server / DC	Sogar weniger

Eine Server-Hive von 5-10 MB nach einem Jahr Betrieb ist normal, nicht verdächtig. Server-Amcache ist tatsächlich spärlicher, weil:

Server einen stabilen Satz von Diensten ausführen, nicht viele Ad-hoc-Binärprogramme.
Wenige interaktive Benutzer bedeuten wenige \Users\-Pfade zum Inventarisieren.
Treiber- und Geräte-Datensätze stabil sind.

Siehe Amcache auf Windows Server für die vollständige Server-Referenz.

Weniger häufige Ursachen#

Volume Shadow Copy oder Backup-Aufbewahrung#

Wenn der Host kürzlich aus einem Backup oder VSS-Snapshot wiederhergestellt wurde, spiegelt Amcache den Zustand zum Zeitpunkt des Snapshots wider, nicht die Gegenwart. Prüfen Sie die Dateisystem-Zeitstempel auf der Hive-Datei selbst gegen die gemeldete Uptime des Hosts.

Angreifer-Manipulation#

Selten. Wenn Sie absichtliche Bereinigung vermuten:

Listen Sie Volume Shadow Copies auf — vssadmin list shadows.
Parsen Sie die Amcache.hve jedes Schattens.
Vergleichen Sie mit der Live-Hive.

Einträge in Schatten, aber abwesend in der Live-Hive = Beweis absichtlicher Bereinigung. Siehe Kann Amcache von Angreifern gelöscht werden?.

Hive-Korruption#

Sehr selten. Eine teilweise korrupte Hive kann mit abgeschnittener Ausgabe parsen. AmcacheParser gibt typischerweise Warnungen über Zellen-Inkonsistenzen aus, wenn dies passiert. Prüfen Sie das Parse-Log auf Warnungen.

Diagnose-Flussdiagramm#

Prüfen Sie State und LastRunTime des geplanten Tasks.
Wenn deaktiviert → Ursache = Appraiser deaktiviert. Pivotieren Sie zu anderen Artefakten.
Wenn aktiviert, aber LastRunTime veraltet → prüfen Sie den Task-Verlauf in der Ereignisanzeige (Microsoft-Windows-TaskScheduler/Operational) auf Fehler.
Wenn der Task normal läuft → prüfen Sie das Installationsdatum des Hosts.
Wenn der Host kürzlich installiert wurde → warten und erneut sammeln.
Wenn der Host etabliert ist und die Hive trotzdem klein ist → prüfen Sie AllowTelemetry und den Server-vs-Workstation-Takt.
Wenn nichts zutrifft und die Hive eigentlich reichhaltige Daten haben sollte → listen Sie VSS auf, vergleichen Sie auf Manipulation.