Noções básicas sobre a condição de regra de fornecedor no AppLocker
Este artigo explica como aplicar a condição de regra do editor do AppLocker e quais controles estão disponíveis.
As condições do editor só podem ser feitas para arquivos assinados digitalmente. Essa condição identifica o arquivo de um aplicativo com base em sua assinatura digital e atributos estendidos. A assinatura digital contém informações sobre a empresa que criou o aplicativo (o editor). Os atributos estendidos, obtidos do recurso binário, contêm o nome do produto do qual o aplicativo faz parte e o número de versão do aplicativo. O editor pode ser uma empresa de desenvolvimento de software, como a Microsoft ou o departamento de Tecnologia da Informação da sua organização. As condições do editor são mais fáceis de manter do que as condições de hash do arquivo e são mais seguras do que as condições de caminho. As regras especificadas para o nível de versão podem ter que ser atualizadas quando uma nova versão do arquivo for lançada. A tabela a seguir descreve as vantagens e desvantagens da condição do editor.
| Vantagens da condição do editor | Desvantagens da condição do editor |
|---|---|
Caracteres curinga podem ser usados como valores nos campos de regra do editor de acordo com as seguintes especificações:
Editor
O caractere asterisco (*) usado por si só representa qualquer editor. Quando combinada com qualquer valor de cadeia de caracteres, a regra é limitada ao editor com um valor no certificado assinado que corresponde à cadeia de caracteres. Em outras palavras, o asterisco não é tratado como um caractere curinga se usado com outros caracteres neste campo. Por exemplo, usar os caracteres "M*" limita o nome do editor a apenas um editor com o nome "M*". O uso dos caracteres "*x*" limita o nome do editor apenas ao nome "*x*". Um ponto de interrogação (?) não é um caractere curinga válido neste campo.
Nome do produto
O caractere asterisco (*) usado por si só representa qualquer nome de produto. Quando combinada com qualquer valor de cadeia de caracteres, a regra é limitada ao produto do editor com um valor no certificado assinado que corresponde à cadeia de caracteres. Em outras palavras, o asterisco não é tratado como um caractere curinga se usado com outros caracteres neste campo. Um ponto de interrogação (?) não é um caractere curinga válido neste campo.
Nome do arquivo
Os caracteres asterisco (*) ou ponto de interrogação (?) usados por eles mesmos representam nomes de arquivo. Quando combinado com qualquer valor de cadeia de caracteres, a cadeia de caracteres é combinada com qualquer nome de arquivo que contenha essa cadeia de caracteres.
Versão do arquivo
O caractere asterisco (*) usado por si só representa qualquer versão do arquivo. Se você quiser limitar a versão do arquivo a uma versão específica ou como ponto de partida, poderá declarar a versão do arquivo e usar as seguintes opções para aplicar limites:
- Exatamente. A regra se aplica somente a essa versão do aplicativo
- E acima. A regra se aplica a essa versão e a todas as versões posteriores.
- E abaixo. A regra se aplica a essa versão e a todas as versões anteriores.
A tabela a seguir descreve como uma condição de editor é aplicada.
| Opção | A condição do editor permite ou nega... |
|---|---|
| Todos os arquivos assinados | Todos os arquivos assinados por um editor. |
| Somente fornecedor | Todos os arquivos assinados pelo fornecedor identificado. |
| Nome do editor e do produto | Todos os arquivos do produto especificado assinado pelo editor nomeado. |
| Publicador, nome do produto e nome do arquivo | Qualquer versão do arquivo nomeado para o produto nomeado e assinada pelo editor. |
| Publisher, nome do produto, nome do arquivo e versão do arquivo | Exatamente A versão especificada do arquivo nomeado para o produto nomeado assinado pelo editor. |
| Publisher, nome do produto, nome do arquivo e versão do arquivo | E acima A versão especificada do arquivo nomeado e as versões posteriores do arquivo para o produto nomeado assinado pelo editor. |
| Publisher, nome do produto, nome do arquivo e versão do arquivo | E abaixo A versão especificada do arquivo nomeado e as versões mais antigas para o produto nomeado assinado pelo editor. |
| Personalizado | Você pode editar os campos Publisher, Nome do produto, Nome do arquivo e Versão para criar uma regra personalizada. |
Para obter uma visão geral dos três tipos de condições de regra do AppLocker e suas vantagens e desvantagens, consulte Noções básicas sobre os tipos de condição de regra do AppLocker.
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de