Partager via

Présentation de la condition de règle d’éditeur dans AppLocker

  • Article

Cette rubrique explique la condition de règle d’éditeur AppLocker, les contrôles disponibles et son mode d’application.

Vous ne pouvez créer des conditions d’éditeur que pour les fichiers signés numériquement ; cette condition identifie une application en fonction de sa signature numérique et de ses attributs étendus. La signature numérique contient des informations sur la société ayant créé l’application (l’éditeur). Les attributs étendus, obtenus à partir de la ressource binaire, contiennent le nom du produit dont fait partie l’application et le numéro de version de cette dernière. L’éditeur peut être une société de développement de logiciels, telle que Microsoft, ou le service informatique de votre organisation.

Les conditions d’éditeur sont plus faciles à gérer que les conditions de hachage du fichier et sont généralement plus sûres que les conditions de chemin d’accès. Les règles spécifiées au niveau de la version devront peut-être être mises à jour lorsqu’une nouvelle version du fichier sera disponible. Le tableau suivant décrit les avantages et les inconvénients de la condition d’éditeur.

Avantages de la condition d’éditeur Inconvénients de la condition d’éditeur

  • Il n’est pas nécessaire de réaliser des mises à jour fréquentes.

  • Vous pouvez appliquer différentes valeurs dans un certificat.

  • Une règle unique peut être utilisée pour autoriser une suite complète de produits.

  • Vous pouvez utiliser le caractère générique astérisque (*) dans une règle d’éditeur pour spécifier que n’importe quelle valeur doit être mise en correspondance.

  • Le fichier doit être signé.

  • Bien qu’une règle unique puisse être utilisée pour autoriser une suite complète de produits, tous les fichiers de cette suite doivent être signés de la même manière.

 

Des caractères génériques peuvent être utilisés comme valeurs dans les champs de règle d’éditeur conformément aux spécifications suivantes :

  • Éditeur

    Le caractère astérisque (*) utilisé seul représente n’importe quel éditeur. Lorsqu’il est associé à n’importe quelle valeur de chaîne, la règle se limite à l’éditeur dont une valeur du certificat signé correspond à la chaîne de caractères. En d’autres termes, l’astérisque n’est pas traité comme un caractère générique s’il est utilisé avec d’autres caractères dans ce champ. Par exemple, l’utilisation des caractères « M* » limite le nom de l’éditeur à un éditeur nommé « M* ». L’utilisation des caractères « *x* » limite le nom de l’éditeur au nom suivant : « *x* ». Un point d’interrogation (?) n’est pas un caractère générique valide dans ce champ.

  • Nom du produit

    Le caractère astérisque (*) utilisé seul représente n’importe quel nom de produit. Lorsqu’il est associé à n’importe quelle valeur de chaîne, la règle se limite au produit de l’éditeur dont une valeur du certificat signé correspond à la chaîne de caractères. En d’autres termes, l’astérisque n’est pas traité comme un caractère générique s’il est utilisé avec d’autres caractères dans ce champ. Un point d’interrogation (?) n’est pas un caractère générique valide dans ce champ.

  • Nom du fichier

    Les caractères astérisque (*) et point d’interrogation (?) utilisés seuls représentent n’importe quel nom de fichier. Lorsqu’ils sont combinés avec n’importe quelle valeur de chaîne, la chaîne est mise en correspondance avec tous les noms de fichier contenant cette chaîne.

  • Version du fichier

    Le caractère astérisque (*) utilisé seul représente n’importe quelle version de fichier. Si vous souhaitez limiter la version du fichier à une version spécifique ou comme point de départ, vous pouvez également indiquer la version du fichier et ensuite appliquer des limites à l’aide des options suivantes :

    • Exactement. La règle s’applique uniquement à cette version de l’application.

    • Et supérieure. La règle s’applique à cette version et à toutes les versions ultérieures.

    • Et inférieure. La règle s’applique à cette version et à toutes les versions antérieures.

Le tableau suivant décrit le mode d’application d’une condition d’éditeur.

Option La condition d’éditeur autorise ou refuse...

Tous les fichiers signés

Tous les fichiers qui sont signés par un éditeur.

Éditeur uniquement

Tous les fichiers qui sont signés par l’éditeur nommé.

Éditeur et nom du produit

Tous les fichiers pour le produit spécifié qui sont signés par l’éditeur nommé.

Éditeur, nom du produit et nom du fichier

Toutes les versions du fichier nommé pour le produit nommé qui sont signées par l’éditeur.

Éditeur, nom du produit, nom du fichier et version du fichier

Exactement

La version spécifiée du fichier nommé pour le produit nommé qui est signée par l’éditeur.

Éditeur, nom du produit, nom du fichier et version du fichier

Et supérieure

La version spécifiée du fichier nommé et toutes les nouvelles versions du produit qui sont signées par l’éditeur.

Éditeur, nom du produit, nom du fichier et version du fichier

Et inférieure

La version spécifiée du fichier nommé et toutes les anciennes versions du produit qui sont signées par l’éditeur.

Personnalisée

Vous pouvez modifier les champs Éditeur, Nom du produit, Nom du fichier et Version du fichier pour créer une règle personnalisée.

 

Pour une vue d’ensemble des trois types de conditions de règles AppLocker et des explications sur les avantages et les inconvénients de chacune d’entre elles, consultez la rubrique Présentation des types de conditions de règles AppLocker.

Rubriques associées

Fonctionnement d’AppLocker