了解 AppLocker 中的发布者规则条件
本主题介绍 AppLocker 发布者规则条件、可用的控制以及应用方式。
只可以为已经过数字签名的文件创建发布者条件;此条件会根据应用的数字签名和扩展属性标识应用。数字签名包含有关创建应用的公司(发布者)的信息。从二进制资源获得的扩展属性包含应用所属产品的名称和应用的版本号。发布者可以是软件开发公司(如 Microsoft),也可以是你组织的信息技术部门。
发布者条件比文件哈希条件更容易维护,并且通常比路径条件更加安全。当新版本的文件发布时,特定于版本级别的规则可能需要更新。下表介绍了发布者条件的优点和缺点。
| 发布者条件优点 | 发布者条件缺点 |
|---|---|
|
|
根据以下说明,通配符可以用作发布者规则字段中的值:
发布者
单独使用的星号 (*) 字符表示任何发布者。当与任何字符串值结合使用时,该规则限制为签名证书中的值与该字符串匹配的发布者。换句话说,如果与此字段中的其他字符结合使用,星号将不再视为通配符。例如,使用字符“M*”将发布者名称限制为名称仅为“M*”的发布者。使用字符“*x*”可以将发布者名称限制为名称仅为“*x*”。问号 (?) 不是此字段中的有效通配符。
产品名称
单独使用的星号 (*) 字符表示任何产品名称。当与任何字符串值结合使用时,该规则限制为签名证书中的值与该字符串匹配的发布者的产品。换句话说,如果与此字段中的其他字符结合使用,星号将不再视为通配符。问号 (?) 不是此字段中的有效通配符。
文件名
单独使用的星号 (*) 或问号 (?) 字符表示任何及所有文件名。当与任何字符串值结合使用时,该字符串与包含该字符串的所有文件名相匹配。
文件版本
单独使用的星号 (*) 字符表示任何文件版本。如果想要将文件版本限制为特定版本或作为起始点,你可以声明该文件版本,然后使用以下选项应用限制:
“原版本”。该规则仅适用于此版本的应用
“更高版本”****。该规则适用于此版本以及所有更高版本。
“及以下版本”。该规则适用于此版本以及所有早期版本。
下表描述了如何应用发布者条件。
| 选项 | 发布者条件允许或拒绝... |
|---|---|
所有已签名的文件 |
由发布者签名的所有文件。 |
仅限发布者 |
由命名发布者签名的所有文件。 |
发布者和产品名称 |
针对指定产品由命名发布者签名的所有文件。 |
发布者、产品名称和文件名 |
针对命名产品由发布者签名的命名文件的任一版本。 |
发布者、产品名称、文件名和文件版本 |
完全 针对命名产品由发布者签名的命名文件的指定版本。 |
发布者、产品名称、文件名和文件版本 |
及以上版本 由发布者签名的有关产品的指定文件(指定版本和新版本)。 |
发布者、产品名称、文件名和文件版本 |
及以下 针对该产品由发布者签名的命名文件的指定版本以及所有旧版本。 |
自定义 |
你可以编辑“发布者”、“产品名称”、“文件名”和“版本”字段创建自定义规则。 |
有关三种类型的 AppLocker 规则条件的概述以及对每种规则条件的优点和缺点说明,请参阅了解 AppLocker 规则条件类型。