Регистрация Войти
Рейтинг:0
Eugene Afanasovich avatar Server

Как настроить Windows для выполнения только .exe с подписью сертификата?

флаг cn
Eugene Afanasovich

Я хочу запускать (на определенном компьютере с Windows 10) только те exe. файлы, подписанные сертификатами, установленными на компьютере (это могут быть сертификаты ЦС или мой собственный тестовый сертификат).

Я уже пробовал это решение (и многие другие): Как настроить Windows, чтобы она не выполняла поддельные двоичные файлы?

но ни один из них не решил мою проблему.

Я написал два приложения «HelloWorld» (с подписью сертификата и без подписи сертификата). Но все решения, которые я пробовал, позволяют запускать оба приложения.

Как настроить Windows10 для выполнения только .exe с подписью сертификата?

Есть конфигурация AppLocker:

<AppLockerPolicy Version="1">
  <RuleCollection Type="Appx" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Dll" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Exe" EnforcementMode="Enabled">
    <FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(Default Rule) All files located in the Program Files folder" Description="Allows members of the Everyone group to run applications that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%PROGRAMFILES%\*" />
      </Conditions>
    </FilePathRule>
    <FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(Default Rule) All files located in the Windows folder" Description="Allows members of the Everyone group to run applications that are located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%WINDIR%\*" />
      </Conditions>
    </FilePathRule>
    <FilePublisherRule Id="d5c14ef6-5a5e-4863-aa49-a9ebbcab1afc" Name="Only run executables that are signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
          <BinaryVersionRange LowSection="*" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>
  </RuleCollection>
  <RuleCollection Type="Msi" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Script" EnforcementMode="NotConfigured" />
</AppLockerPolicy>
95
0 + 6
флаг cn
Greg Askew
AppLocker абсолютно может и будет предотвращать запуск приложений. Если только он не настроен неправильно.
1
Ответить
Eugene Afanasovich avatar
флаг cn
Eugene Afanasovich
Нет сомнения. Но как правильно настроить AppLocker на Windows 10, чтобы выполнялся только .exe с подписью сертификата?
0
Ответить
флаг cn
Greg Askew
Было бы проще, если бы вы предоставили свою конфигурацию AppLocker.
0
Ответить
Eugene Afanasovich avatar
флаг cn
Eugene Afanasovich
@GregAskew, спасибо за попытку помочь мне. Я очень ценю это. Я добавил конфигурацию AppLocker в вопрос.
0
Ответить
флаг cn
Greg Askew
В журнале событий AppLocker есть что-нибудь? Вы используете версию Windows 10, которая поддерживает AppLocker?
1
Ответить
Eugene Afanasovich avatar
флаг cn
Eugene Afanasovich
Да, в средстве просмотра событий есть журнал: «appidsvc.dll: компонент AppLocker недоступен для этого SKU». Я использую Windows 10 Pro. И я только что прочитал, что правильно запустить AppLocker на этой ОС непросто. Может быть есть какое-то решение моей проблемы без использования AppLocker?
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.