Общие сведения об условии правила издателя в AppLocker

  • Статья

В этом разделе рассматриваются условие правила издателя AppLocker, доступные элементы управления и способы их применения.

Условия издателя можно выполнять только для файлов, которые имеют цифровую подпись; это условие определяет приложение на основе его цифровой подписи и расширенных атрибутов. Цифровая подпись содержит сведения о компании, создавшей приложение (издателе). Дополнительные атрибуты, полученные из двоичного ресурса, содержат имя продукта, в состав которого входит файл, и номер версии приложения. Издатель может представлять собой компанию по разработке программного обеспечения, например Майкрософт, или отдел информационных технологий вашей организации.

Условия издателя проще вести, чем условия хэша файлов. Условия издателя, как правило, более безопасны, чем условия пути. Может понадобиться обновление правил, заданных для уровня версии, в случае выпуска новой версии файла. В следующей таблице описываются преимущества и недостатки условия издателя.

Преимущества условия издателя Недостатки условия издателя

  • Не требуется частое обновление.

  • Можно применять различные значения в сертификате.

  • Весь набор продуктов можно разрешить с помощью одного правила.

  • С помощью подстановочного знака "звездочка" (*) в правиле издателя можно указать, что все значения должны совпадать.

  • Файл должен быть подписан.

  • Несмотря на то что разрешить весь набор продуктов можно с помощью одного правила, все файлы в наборе должны быть подписаны единообразно.

 

Подстановочные знаки можно использовать в качестве значений в полях правила издателя в соответствии со следующими требованиями.

  • Издатель

    Символ звездочки (*), используемый в одиночку, представляет любого издателя. В сочетании с любым строковым значением правило ограничивается издателем с помощью значения из подписанного сертификата, которое соответствует строке символов. Другими словами, звездочка не обрабатывается как подстановочный знак, если она указана в этом поле вместе с другими символами. Например, при использовании символов "M*" издателем может быть только издатель с именем "M*". При использовании символов "*x*" издатель может иметь только имя "*x*". В этом поле нельзя использовать вопросительный знак (?) в качестве подстановочного символа.

  • Название продукта

    Символ звездочки (*), используемый самостоятельно, представляет любое название продукта. В сочетании с любым строковым значением правило ограничивается продуктом издателя со значением из подписанного сертификата, которое соответствует строке символов. Другими словами, звездочка не обрабатывается как подстановочный знак, если она указана в этом поле вместе с другими символами. В этом поле нельзя использовать вопросительный знак (?) в качестве подстановочного символа.

  • Имя файла

    Символы звездочки (*) или вопросительного знака (?), используемые самостоятельно, представляют все без исключения имена файлов. В сочетании с любым строковым значением эта строка соответствует любому имени файла, содержащему такую строку.

  • Версия файла

    Символ звездочки (*), используемый самостоятельно, представляет любую версию файла. Если необходимо ограничить версию файла определенной версией или задать ее как отправную точку, можно установить версию файла и использовать следующие параметры для применения ограничений:

    • Точно. Правило применяется только к этой версии приложения.

    • И выше. Правило применяется к этой и всем последующим версиям приложения.

    • И ниже. Правило применяется к этой и всем более ранним версиям приложения.

В следующей таблице описано применение условия издателя.

Параметр Условие издателя разрешает или запрещает следующее.

Все подписанные файлы

Все файлы, которые подписаны издателем.

Только издатель

Все файлы, которые подписаны указанным по имени издателем.

Издатель и название продукта

Все файлы для конкретного продукта, подписанные указанным по имени издателем.

Издатель, название продукта и имя файла

Любая версия указанного по имени файла для указанного по имени продукта, подписанная издателем.

Издатель, название продукта, имя файла и версия файла

Точно

Заданная версия указанного по имени файла для указанного по имени продукта, подписанная издателем.

Издатель, название продукта, имя файла и версия файла

И выше

Заданная версия указанного по имени файла и любые новые выпуски для продукта, подписанные издателем.

Издатель, название продукта, имя файла и версия файла

И ниже

Заданная версия указанного по имени файла и любые более ранние версии для продукта, подписанные издателем.

Пользовательское

Можно изменить поля Издатель, Название продукта, Имя файла и Версия, чтобы создать пользовательское правило.

 

Обзор трех типов условий правил AppLocker и описание преимуществ и недостатков каждого из них см. в разделе Общие сведения о типах условий правил AppLocker.

Связанные разделы

Как работает AppLocker