Как настроить Windows, чтобы она не выполняла несанкционированные двоичные файлы?

Question

Как настроить Windows, чтобы она не выполняла несанкционированные двоичные файлы?

Чтобы проиллюстрировать преимущества цифровой подписи сертификатов, я написал исполняемый файл.NET "demo.exe", который вызывает функцию в "demo.core.dll". Я подписал оба исполняемых файла цифровой подписью. При выполнении выдает сообщение "Здравствуйте. Как дела?".

Сообщение в "demo.core.dll" было изменено на "Вас взломали" с помощью шестнадцатеричного редактора. Проверка цифрового сертификата на "demo.core.dll" завершается неудачно. Запустите "demo.exe", который отображает "Вас взломали".

Я ожидаю, что Windows не сможет выполнить DLL.

Это сводит на нет ценность цифрового сертификата. Как настроить Windows, чтобы она не загружала поврежденные двоичные файлы с недействительными сертификатами?

6

windows-server-2008-r2 windows-server-2012 digital-signatures

Источник

bloudraak 28 фев '14 в 02:57

1 ответ

Решение

Другие вопросы по тегам windows-server-2008-r2 windows-server-2012 digital-signatures

Ryan Ries 28 фев '14 в 16:15 2014-02-28 16:15 · Accepted Answer · 2014-02-28 16:15

Редактировать: я забыл AppLocker!

Перед выполнением следующей процедуры убедитесь, что вы создали правила по умолчанию для коллекции правил, которая описана в разделе "Запрещение запуска обычных приложений для обычных пользователей".

Разрешить запуск только подписанных приложений

1. Чтобы открыть оснастку MMC "Локальная политика безопасности", нажмите "Пуск", введите secpol.msc и нажмите клавишу ВВОД.

2.В дереве консоли дважды щелкните Политики управления приложениями, а затем дважды щелкните AppLocker.

3.Правой кнопкой мыши щелкните "Исполняемые правила", а затем нажмите "Создать новое правило".

CautionCaution

Это правило запрещает запуск неподписанных приложений. Перед реализацией этого правила убедитесь, что все файлы, которые вы хотите запустить в своей организации, имеют цифровую подпись. Если какие-либо приложения не подписаны, рассмотрите возможность реализации внутреннего процесса подписания, чтобы подписать неподписанные приложения с помощью внутреннего ключа подписи.

4.На странице "Прежде чем начать" нажмите "Далее".

5.На странице "Разрешения" нажмите "Далее", чтобы принять настройки по умолчанию.

6.На странице условий нажмите кнопку Далее.

7.На странице издателя обратите внимание, что по умолчанию разрешен запуск любого подписанного файла, а затем нажмите кнопку "Далее".

8.На странице "Исключения" нажмите "Далее".

9.На странице "Имя и описание" примите имя по умолчанию или введите произвольное имя и описание, а затем нажмите "Создать".