Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ.
Справочные материалы
Этот параметр политики определяет, обрабатываются ли цифровые сертификаты, если включены политики ограниченного использования программ и пользователь или процесс пытается запустить приложение с расширением имени файла EXE. Этот параметр безопасности включает или отключает правила сертификатов (которые являются типом политики ограниченного использования программ). Благодаря политике ограниченного использования программ можно создать правило сертификата, которое позволяет или запрещает запуск программного обеспечения с подписью Microsoft Authenticode® в зависимости от цифрового сертификата, связанного с этим программным обеспечением. Чтобы правила сертификатов работали в политиках ограниченного использования программ, необходимо включить этот параметр безопасности.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Задайте для этой политики значение Включено. Включение правил сертификатов приводит к проверке политиками ограниченного использования программ списка отзыва сертификатов (CRL), чтобы удостовериться в годности сертификата и подписи программного обеспечения. Этот параметр может снизить производительность системы при запуске подписанных программ. Вы можете отключить списки отзыва сертификатов, изменив политики ограниченного использования программ в нужном объекте групповой политики. В диалоговом окне Свойства доверенных издателей снимите флажки Издатель и Отметка времени.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
При отказе от политик ограниченного использования программ пользователи и компьютеры могут пострадать от неавторизованного программного обеспечения, которое может содержать вредоносную программу.
Меры противодействия
Включите параметр Параметры системы: использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ.
Возможные последствия
Включение правил сертификатов приводит к проверке политиками ограниченного использования программ списка отзыва сертификатов (CRL), чтобы удостовериться в годности сертификата и подписи программного обеспечения. Этот процесс проверки может негативно повлиять на производительность при запуске подписанных программ. Чтобы отключить эту функциональную возможность, можно изменить политики ограниченного использования программ в соответствующем объекте групповой политики. В диалоговом окне Свойства доверенных издателей снимите флажки Издатель и Отметка времени.