Descripción de la condición de regla de editor en AppLocker
Este tema explica la condición de regla de editor de AppLocker, los controles disponibles y cómo se aplica.
Las condiciones de editor solo pueden realizarse para los archivos que están firmados digitalmente. Esta condición identifica una aplicación basada en su firma digital y en los atributos extendidos. La firma digital contiene información sobre la organización que creó la aplicación (el editor). Los atributos extendidos, que se obtienen del recurso binario, contienen el nombre del producto del que forma parte y el número de versión de la aplicación. El editor puede ser una empresa de desarrollo de software, como Microsoft, o el departamento de Tecnologías de la información de la organización.
Las condiciones de editor son más fáciles de mantener que las condiciones de hash de archivo y son generalmente más seguras que las condiciones de ruta de acceso. Puede que sea necesario actualizar las reglas que se especifican en el nivel de la versión al publicar una nueva versión del archivo. La siguiente tabla describe las ventajas y desventajas de la condición de editor.
Ventajas de la condición de editor | Desventajas de la condición de editor |
---|---|
|
|
Los caracteres comodín pueden usarse como valores de los campos de la regla de editor según las especificaciones siguientes:
Editor
El carácter de asterisco (*) representa cualquier editor. Cuando se combina con cualquier otro valor de cadena, la regla se limita al editor con un valor en el certificado de firma que coincida con la cadena de caracteres. En otras palabras, no se trata el asterisco como carácter comodín si se usa con otros caracteres en este campo. Por ejemplo, los caracteres "M*" limitan el nombre del editor a solo un editor con el nombre "M*". Los caracteres "*x*" limitan el nombre del editor solo al nombre "*x*". El signo de interrogación (?) no es un carácter comodín válido en este campo.
Nombre del producto
El carácter de asterisco (*) por sí solo representa cualquier nombre de producto. Cuando se combina con cualquier otro valor de cadena, la regla se limita al producto del editor con un valor en el certificado de firma que coincida con la cadena de caracteres. En otras palabras, no se trata el asterisco como carácter comodín si se usa con otros caracteres en este campo. El signo de interrogación (?) no es un carácter comodín válido en este campo.
Nombre del archivo
El asterisco (*) o el signo de interrogación (?) usados por sí solos representan cualquier nombre de archivo o todos los nombres de archivo. Cuando se combina con cualquier valor de cadena, la cadena coincide con cualquier nombre de archivo que contiene dicha cadena.
Versión de archivo
El carácter de asterisco (*) por sí solo representa cualquier versión de archivo. Si quieres limitar la versión del archivo a una versión específica o como punto de partida, puedes indicar la versión del archivo y, a continuación, usar las siguientes opciones para aplicar los límites:
Exactamente. La regla se aplica solo a esta versión de la aplicación.
Y superior. La regla se aplica a esta versión y a todas las versiones posteriores.
Y anterior. La regla se aplica a esta versión y a todas las versiones anteriores.
La siguiente tabla describe cómo se aplica una condición de editor.
Opción | La condición de editor permite o deniega... |
---|---|
Todos los archivos firmados |
Todos los archivos que están firmados por cualquier editor. |
Solo editor |
Todos los archivos que están firmados por el editor con nombre. |
Nombre del editor y el producto |
Todos los archivos para el producto especificado que están firmados por el editor con nombre. |
Editor, nombre del producto y nombre del archivo |
Cualquier versión del archivo con nombre para el producto con nombre que estén firmados por el editor. |
Editor, nombre del producto, nombre del archivo y versión del archivo |
Exactamente Versión especificada del archivo con nombre para el producto con nombre que esté firmado por el editor. |
Editor, nombre del producto, nombre del archivo y versión del archivo |
Y superior La versión especificada del archivo con nombre y cualquiera de las nuevas versiones del producto que estén firmadas por el editor. |
Editor, nombre del producto, nombre del archivo y versión del archivo |
Y anterior La versión especificada del archivo con nombre y cualquiera de las nuevas versiones anteriores del producto que estén firmadas por el editor. |
Personalizar |
Puedes editar los campos Editor, Nombre de producto, Nombre de archivo y Versión para crear una regla personalizada. |
Para información general sobre los tres tipos de condiciones de regla de AppLocker, así como explicaciones sobre las ventajas y desventajas de cada uno, consulta Descripción de los tipos de condición de reglas de AppLocker.