Share via

Descripción de la condición de regla de editor en AppLocker

  • Artículo

Este tema explica la condición de regla de editor de AppLocker, los controles disponibles y cómo se aplica.

Las condiciones de editor solo pueden realizarse para los archivos que están firmados digitalmente. Esta condición identifica una aplicación basada en su firma digital y en los atributos extendidos. La firma digital contiene información sobre la organización que creó la aplicación (el editor). Los atributos extendidos, que se obtienen del recurso binario, contienen el nombre del producto del que forma parte y el número de versión de la aplicación. El editor puede ser una empresa de desarrollo de software, como Microsoft, o el departamento de Tecnologías de la información de la organización.

Las condiciones de editor son más fáciles de mantener que las condiciones de hash de archivo y son generalmente más seguras que las condiciones de ruta de acceso. Puede que sea necesario actualizar las reglas que se especifican en el nivel de la versión al publicar una nueva versión del archivo. La siguiente tabla describe las ventajas y desventajas de la condición de editor.

Ventajas de la condición de editor Desventajas de la condición de editor

  • No es necesaria la actualización frecuente.

  • Puedes aplicar distintos valores dentro de un certificado.

  • Puedes usar una única regla para permitir un conjunto de productos.

  • Puedes usar el carácter comodín de asterisco (*) dentro en una regla de editor para especificar que cualquier valor debe coincidir.

  • El archivo en cuestión debe estar firmado.

  • Aunque una única regla solo puede usarse para permitir un conjunto de productos, todos los archivos del conjunto deben estar firmados de manera uniforme.

 

Los caracteres comodín pueden usarse como valores de los campos de la regla de editor según las especificaciones siguientes:

  • Editor

    El carácter de asterisco (*) representa cualquier editor. Cuando se combina con cualquier otro valor de cadena, la regla se limita al editor con un valor en el certificado de firma que coincida con la cadena de caracteres. En otras palabras, no se trata el asterisco como carácter comodín si se usa con otros caracteres en este campo. Por ejemplo, los caracteres "M*" limitan el nombre del editor a solo un editor con el nombre "M*". Los caracteres "*x*" limitan el nombre del editor solo al nombre "*x*". El signo de interrogación (?) no es un carácter comodín válido en este campo.

  • Nombre del producto

    El carácter de asterisco (*) por sí solo representa cualquier nombre de producto. Cuando se combina con cualquier otro valor de cadena, la regla se limita al producto del editor con un valor en el certificado de firma que coincida con la cadena de caracteres. En otras palabras, no se trata el asterisco como carácter comodín si se usa con otros caracteres en este campo. El signo de interrogación (?) no es un carácter comodín válido en este campo.

  • Nombre del archivo

    El asterisco (*) o el signo de interrogación (?) usados por sí solos representan cualquier nombre de archivo o todos los nombres de archivo. Cuando se combina con cualquier valor de cadena, la cadena coincide con cualquier nombre de archivo que contiene dicha cadena.

  • Versión de archivo

    El carácter de asterisco (*) por sí solo representa cualquier versión de archivo. Si quieres limitar la versión del archivo a una versión específica o como punto de partida, puedes indicar la versión del archivo y, a continuación, usar las siguientes opciones para aplicar los límites:

    • Exactamente. La regla se aplica solo a esta versión de la aplicación.

    • Y superior. La regla se aplica a esta versión y a todas las versiones posteriores.

    • Y anterior. La regla se aplica a esta versión y a todas las versiones anteriores.

La siguiente tabla describe cómo se aplica una condición de editor.

Opción La condición de editor permite o deniega...

Todos los archivos firmados

Todos los archivos que están firmados por cualquier editor.

Solo editor

Todos los archivos que están firmados por el editor con nombre.

Nombre del editor y el producto

Todos los archivos para el producto especificado que están firmados por el editor con nombre.

Editor, nombre del producto y nombre del archivo

Cualquier versión del archivo con nombre para el producto con nombre que estén firmados por el editor.

Editor, nombre del producto, nombre del archivo y versión del archivo

Exactamente

Versión especificada del archivo con nombre para el producto con nombre que esté firmado por el editor.

Editor, nombre del producto, nombre del archivo y versión del archivo

Y superior

La versión especificada del archivo con nombre y cualquiera de las nuevas versiones del producto que estén firmadas por el editor.

Editor, nombre del producto, nombre del archivo y versión del archivo

Y anterior

La versión especificada del archivo con nombre y cualquiera de las nuevas versiones anteriores del producto que estén firmadas por el editor.

Personalizar

Puedes editar los campos Editor, Nombre de producto, Nombre de archivo y Versión para crear una regla personalizada.

 

Para información general sobre los tres tipos de condiciones de regla de AppLocker, así como explicaciones sobre las ventajas y desventajas de cada uno, consulta Descripción de los tipos de condición de reglas de AppLocker.

Temas relacionados

Cómo funciona AppLocker