要查看英语原文,请勾选“英语”复选框。也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

了解 AppLocker 中的发布者规则条件

 

适用对象:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

本主题介绍 AppLocker 发布者规则条件、可用的控件以及该条件的应用方式。

只能对已进行数字签名的文件应用发布者条件;此条件基于应用程序的数字签名和扩展属性标识该应用程序。 数字签名包含有关创建该应用程序的公司(发布者)的信息。 从二进制资源获取的扩展属性包含应用程序所属产品的名称以及应用程序的版本号。 发布者可能是软件开发公司,比如 Microsoft,也可能是你组织的信息技术部门。

发布者条件比文件哈希条件更易维护,并且通常比路径条件更加安全。 指定到版本级别的规则在文件的新版本发布时可能必须进行更新。 下表介绍了发布者条件的优缺点。

发布者条件的优点

发布者条件的缺点

  • 不需要频繁更新。

  • 可以在证书内应用不同的值。

  • 使用一项规则即可允许整个产品套件。

  • 发布者规则中的星号 (*) 通配符可用于指定应匹配任意值。

  • 文件必须签名。

  • 虽然使用一项规则即可允许整个产品套件,但套件中的所有文件必须统一签名。

根据以下规范,可以将通配符用作发布者规则字段中的值:

  • 发布者

    单独使用星号 (*) 字符可表示任意发布者。 与任何字符串值结合使用时,该规则限制为签名证书中具有与该字符串匹配的值的发布者。 换而言之,星号与此字段中的其他字符一起使用时,不被视作通配符。 例如,使用字符“M*”可将发布者名称限制为名为“M*”的发布者。 使用字符“*x*”可将发布者名称限制为名称“*x*”。 问号 (?) 在此字段中不是有效的通配符。

  • 产品名称

    单独使用星号 (*) 字符可表示任意产品名称。 与任何字符串值结合使用时,该规则限制为签名证书中具有与该字符串匹配的值的发布者的产品。 换而言之,星号与此字段中的其他字符一起使用时,不被视作通配符。 问号 (?) 在此字段中不是有效的通配符。

  • 文件名

    单独使用星号 (*) 或问号 (?) 字符可表示任意和所有文件名。 与任何字符串值结合使用时,该字符串将与包含该字符串的任何文件名匹配。

  • 文件版本

    单独使用星号 (*) 字符可表示任意文件版本。 如果想要将文件版本限制为特定版本或起始点,则可以规定文件版本,然后使用以下选项应用限制:

    • 完全一致 该规则仅适用于此版本应用程序。

    • 及以上版本 该规则适用于此版本和所有更新版本。

    • 及以下版本 该规则适用于此版本和所有早期版本。

下表描述如何应用发布者条件。

选项

发布者条件允许或拒绝…

所有已签名的文件

由发布者签名的所有文件。

仅限发布者

由命名发布者签名的所有文件。

发布者和产品名称

由命名发布者签名的指定产品的所有文件。

发布者、产品名称和文件名

由发布者签名的命名产品的命名文件的任何版本。

发布者、产品名称、文件名和文件版本

完全一致

由发布者签名的命名产品的命名文件的指定版本。

发布者、产品名称、文件名和文件版本

及以上版本

由发布者签名的任何新发布产品的命名文件的指定版本。

发布者、产品名称、文件名和文件版本

及以下版本

由发布者签名的任何旧版产品的命名文件的指定版本。

自定义

你可以编辑“发布者”、“产品名称”、“文件名”和“版本”字段来创建自定义规则。

有关三种 AppLocker 规则条件的概述以及每种条件的优缺点说明,请参阅了解 AppLocker 规则条件类型

显示: