Implementar archivos de catálogo para admitir el Control de aplicaciones de Windows Defender

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Para obtener más información, consulte Windows Defender disponibilidad de características de Application Control.

Los archivos de catálogo pueden ser importantes en la implementación de Windows Defender Control de aplicaciones (WDAC) si tiene aplicaciones de línea de negocio (LOB) sin firmar para las que el proceso de firma es difícil. También puede usar archivos de catálogo para agregar su propia firma a las aplicaciones que obtenga de proveedores de software independientes (ISV) cuando no quiera confiar en todo el código firmado por ese ISV. De este modo, los archivos de catálogo proporcionan una manera cómoda de "bendecir" las aplicaciones para su uso en el entorno administrado por WDAC. Además, puede crear archivos de catálogo para aplicaciones existentes sin necesidad de acceso al código fuente original o de cualquier reempaquetado costoso.

Debe obtener un certificado de firma de código para su propio uso y usarlo para firmar el archivo de catálogo. A continuación, distribuya el archivo de catálogo firmado mediante el mecanismo de implementación de contenido que prefiera.

Por último, agregue una regla de firmante a la directiva WDAC para el certificado de firma. A continuación, las aplicaciones cubiertas por los archivos de catálogo firmados pueden ejecutarse, incluso si las aplicaciones estaban sin firmar anteriormente. Con esta base, puede crear más fácilmente una directiva WDAC que bloquee todo el código sin firmar, ya que la mayoría de malware no está firmado.

Creación de archivos de catálogo mediante el Inspector de paquetes

Para crear un archivo de catálogo para una aplicación existente, puede usar una herramienta denominada Inspector de paquetes que viene con Windows.

  1. Aplique una directiva en modo de auditoría al equipo donde ejecute el Inspector de paquetes. El Inspector de paquetes usa eventos de auditoría para incluir hashes en el archivo de catálogo para los archivos de instalación temporales que se agregan y, a continuación, se quitan del equipo durante el proceso de instalación. La directiva de modo de auditoría no debe permitir los archivos binarios de la aplicación o puede que se pierdan algunos archivos críticos que se necesitan en el archivo de catálogo.

    Nota

    No podrá completar este proceso si se realiza en un sistema con una directiva aplicada, a menos que la directiva aplicada ya permita la ejecución de la aplicación.

    Puede usar este ejemplo de PowerShell para realizar una copia de la plantilla de DefaultWindows_Audit.xml:

    Copy-Item -Path $env:windir\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml -Destination $env:USERPROFILE\Desktop\
$PolicyId = Set-CIPolicyIdInfo -FilePath $env:USERPROFILE\Desktop\DefaultWindows_Audit.xml -PolicyName "Package Inspector Audit Policy" -ResetPolicyID
$PolicyBinary = $env:USERPROFILE+"\Desktop\"+$PolicyId.substring(11)+".cip"

    A continuación, aplique la directiva tal y como se describe en Implementación Windows Defender directivas de Application Control con script.

  2. Inicie el Inspector de paquetes para supervisar la creación de archivos en una unidad local donde instale la aplicación, por ejemplo, la unidad C:

    PackageInspector.exe Start C:

    Importante

    Todos los archivos que se escriben en la unidad que está viendo con el Inspector de paquetes se incluirán en el catálogo que se crea. Tenga en cuenta cualquier otro proceso que pueda estar ejecutando y creando archivos en la unidad.

  3. Copie el medio de instalación en la unidad que está viendo con el Inspector de paquetes para que el instalador real se incluya en el archivo de catálogo final. Si omite este paso, puede permitir que se ejecute la aplicación , pero no poder instalarla realmente.

  4. Instale la aplicación.

  5. Inicie la aplicación para asegurarse de que los archivos creados al iniciarse inicialmente se incluyen en el archivo de catálogo.

  6. Use la aplicación como lo haría normalmente, para que los archivos creados durante el uso normal se incluyan en el archivo de catálogo. Por ejemplo, algunas aplicaciones pueden descargar más archivos en el primer uso de una característica dentro de la aplicación. Asegúrese de comprobar también si hay actualizaciones de aplicaciones si la aplicación tiene esa funcionalidad.

  7. Cierre y vuelva a abrir la aplicación para asegurarse de que el examen ha capturado todos los archivos binarios.

  8. Según corresponda, con el Inspector de paquetes todavía en ejecución, repita los pasos anteriores para cualquier otra aplicación que quiera incluir en el catálogo.

  9. Cuando haya confirmado que los pasos anteriores están completos, use los siguientes comandos para detener el Inspector de paquetes. Crea un archivo de catálogo y un archivo de definición de catálogo en la ubicación especificada. Use una convención de nomenclatura para los archivos de catálogo para facilitar la administración de los archivos de catálogo implementados a lo largo del tiempo. Los nombres de archivo usados en este ejemplo son LOBApp-Contoso.cat (archivo de catálogo) y LOBApp.cdf (archivo de definición).

    Para el último comando, que detiene el Inspector de paquetes, asegúrese de especificar la misma unidad local que ha estado viendo con el Inspector de paquetes, por ejemplo, C:.

    $ExamplePath=$env:userprofile+"\Desktop"
$CatFileName=$ExamplePath+"\LOBApp-Contoso.cat"
$CatDefName=$ExamplePath+"\LOBApp.cdf"
PackageInspector.exe Stop C: -Name $CatFileName -cdfpath $CatDefName

Nota

Package Inspector cataloga los valores hash de cada archivo detectado. Si se actualizan las aplicaciones que se examinaron, vuelva a completar este proceso para confiar en los valores hash de los nuevos archivos binarios.

Cuando termine, la herramienta guarda los archivos en el escritorio. Puede ver el *.cdf archivo con un editor de texto y ver qué archivos incluye el Inspector de paquetes. También puede hacer doble clic en el *.cat archivo para ver su contenido y comprobar si hay un hash de archivo específico.

Firma del archivo de catálogo

Ahora que ha creado un archivo de catálogo para la aplicación, está listo para firmarlo. Se recomienda usar el servicio Firma de confianza de Microsoft para la firma del catálogo. Opcionalmente, puede firmar manualmente el catálogo mediante Signtool mediante las siguientes instrucciones.

Firma de catálogos con SignTool.exe

Si compró un certificado de firma de código o emitió uno de su propia infraestructura de clave pública (PKI), puede usar SignTool.exe para firmar los archivos de catálogo.

Te hace falta:

  • SignTool.exe, que se encuentra en el kit de desarrollo de software (SDK) de Windows.
  • El archivo de catálogo que creó anteriormente.
  • Certificado de firma de código emitido desde una entidad de certificación (CA) interna o un certificado de firma de código comprado.

Para el certificado de firma de código que se usa para firmar el archivo de catálogo, impórtelo en el almacén personal del usuario de firma. A continuación, firme el archivo de catálogo existente copiando cada uno de los comandos siguientes en una sesión de Windows PowerShell con privilegios elevados.

  1. Inicialice las variables que se van a usar. Reemplace las $ExamplePath variables y $CatFileName según sea necesario:

     $ExamplePath=$env:userprofile+"\Desktop"
 $CatFileName=$ExamplePath+"\LOBApp-Contoso.cat"

  2. Firma el archivo de catálogo con SignTool.exe:

     <path to signtool.exe> sign /n "ContosoSigningCert" /fd sha256 /v $CatFileName

    Nota

    La <Path to signtool.exe> variable debe ser la ruta de acceso completa a la utilidad Signtool.exe. ContosoSigningCert representa el nombre del firmante del certificado que se usa para firmar el archivo de catálogo. Debes importar este certificado en el almacén de certificados personal del equipo en el que intentas firmar el archivo de catálogo.

    Para obtener más información sobre Signtool.exe y todos los modificadores adicionales, consulte Herramienta de firma.

  3. Compruebe la firma digital del archivo de catálogo. Haga clic con el botón derecho en el archivo de catálogo y, a continuación, seleccione Propiedades. En la pestaña Firmas digitales, comprueba que el certificado de firma existe con un algoritmo sha256, como se muestra en la figura 1.

    Lista de firma digital en propiedades de archivo.

    Figura 1. Compruebe que el certificado de firma existe.

Implementación del archivo de catálogo en los puntos de conexión administrados

Los archivos de catálogo de Windows se almacenan en %windir%\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}.

Con fines de prueba, puede copiar manualmente los archivos de catálogo firmados en esta carpeta. Para la implementación a gran escala de archivos de catálogo firmados, use las preferencias de archivo de directiva de grupo o un producto de administración de sistemas empresariales, como Microsoft Configuration Manager.

Implementación de archivos de catálogo con directiva de grupo

Para simplificar la administración de archivos de catálogo, puede usar las preferencias de directiva de grupo para implementar archivos de catálogo en los equipos adecuados de la organización.

El siguiente proceso le guiará a través de la implementación de un archivo de catálogo firmado denominado LOBApp-Contoso.cat en una unidad organizativa de prueba denominada EQUIPOS habilitados para WDAC con un GPO denominado Contoso Catalog File GPO Test( Prueba de GPO de archivo de catálogo de Contoso).

  1. Desde un controlador de dominio o un equipo cliente que tenga instaladas las Herramientas de administración remota del servidor, abra la consola de administración de directiva de grupo mediante la ejecución de GPMC.MSC o la búsqueda de directiva de grupo Management.

  2. Cree un nuevo GPO: haga clic con el botón derecho en una unidad organizativa, por ejemplo, la unidad organizativa WDAC Enabled PCs (EQUIPOS habilitados para WDAC) y, a continuación , seleccione Crear un GPO en este dominio y Vincularlo aquí, como se muestra en la figura 2.

    Nota

    Puede usar cualquier nombre de unidad organizativa. Además, el filtrado de grupos de seguridad es una opción cuando se consideran diferentes formas de combinar directivas WDAC.

    directiva de grupo Management, cree un GPO.

    Figura 2. Cree un NUEVO GPO.

  3. Asigne un nombre al nuevo GPO, por ejemplo, Contoso Catalog File GPO Test o cualquier nombre que prefiera.

  4. Abra el Editor administración de directiva de grupo: haga clic con el botón derecho en el nuevo GPO y, a continuación, seleccione Editar.

  5. En el GPO seleccionado, vaya a Configuración del equipo\Preferencias\Configuración de Windows\Archivos. Haga clic con el botón derecho en Archivos, seleccione Nuevo y, a continuación, seleccione Archivo, como se muestra en la figura 3.

    directiva de grupo Editor de administración, Nuevo archivo.

    Figura 3. Cree un nuevo archivo.

  6. Configura el recurso compartido de archivos de catálogo.

    Si deseas usar esta configuración para ofrecer una implementación coherente del archivo de catálogo (en este ejemplo, LOBApp-Contoso.cat), el archivo de origen debe encontrarse en un recurso compartido accesible para la cuenta de equipo de todos los equipos implementados. En este ejemplo se usa un recurso compartido en un equipo que ejecuta Windows 10 denominado \\Contoso-Win10\Share. El archivo de catálogo que se está implementando se copia en este recurso compartido.

  7. Para mantener la coherencia de las versiones, en el cuadro de diálogo Propiedades de nuevo archivo , como se muestra en la figura 4, seleccione Reemplazar en la lista Acción para que siempre se use la versión más reciente.

    Propiedades de archivo, opción Reemplazar.

    Figura 4. Establezca las nuevas propiedades de archivo.

  8. En el cuadro Archivos de origen , escriba el nombre del recurso compartido accesible, con el nombre del archivo de catálogo incluido. Por ejemplo, \\Contoso-Win10\share\LOBApp-Contoso.cat.

  9. En el cuadro Archivo de destino, escribe una ruta de acceso y un nombre de archivo, por ejemplo:

    C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\LOBApp-Contoso.cat

    Para el nombre del archivo de catálogo, use el nombre del catálogo que va a implementar.

  10. En la pestaña Común del cuadro de diálogo Nuevas propiedades archivo, selecciona la opción Quitar este elemento cuando ya no se aplique. Al habilitar esta opción, se garantiza que el archivo de catálogo se quite de todos los sistemas, en caso de que tenga que dejar de confiar en esta aplicación.

  11. Seleccione Aceptar para completar la creación de archivos.

  12. Cierre el Editor de administración de directiva de grupo y, a continuación, actualice la directiva en el equipo de prueba que ejecuta Windows 10 o Windows 11 mediante la ejecución de GPUpdate.exe. Cuando se haya actualizado la directiva, compruebe que el archivo de catálogo existe en en C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} el equipo que ejecuta Windows 10.

Implementación de archivos de catálogo con Microsoft Configuration Manager

Como alternativa a la directiva de grupo, puede usar Configuration Manager para implementar archivos de catálogo en los equipos administrados del entorno. Este enfoque puede simplificar la implementación y administración de varios archivos de catálogo y proporcionar informes sobre qué catálogo ha implementado cada cliente o colección. Además de la implementación de estos archivos, Configuration Manager también se pueden usar para inventariar los archivos de catálogo implementados actualmente con fines de informes y cumplimiento.

Realiza los siguientes pasos para crear un nuevo paquete de implementación para los archivos de catálogo:

Nota

En el ejemplo siguiente se usa un recurso compartido de red denominado \\Shares\CatalogShare como origen para los archivos de catálogo. Si tiene archivos de catálogo específicos de la colección o prefiere implementarlos individualmente, use la estructura de carpetas que mejor funcione para su organización.

  1. Abre la consola de Configuration Manager y selecciona el área de trabajo de biblioteca de software.

  2. Vaya a Información general\Administración de aplicaciones, haga clic con el botón derecho en Paquetes y seleccione Crear paquete.

  3. Asigna el nombre del paquete, establece la organización como fabricante y selecciona un número de versión adecuado.

    Asistente para crear paquetes y programas.

    Figura 5. Especifique información sobre el nuevo paquete.

  4. Seleccione Siguiente y, a continuación, seleccione Programa estándar como tipo de programa.

  5. En la página Programa estándar , seleccione un nombre y, a continuación, establezca la propiedad Línea de comandos en el siguiente comando:

    XCopy \\Shares\CatalogShare C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} /H /K /E /Y

  6. En la página Programa estándar , seleccione las siguientes opciones, como se muestra en la figura 6:

    • En Nombre, escribe un nombre como Contoso Catalog File Copy Program.
    • En Línea de comandos, busca la ubicación del programa.
    • En Carpeta de inicio, escriba C:\Windows\System32.
    • En la lista Ejecutar, selecciona Oculto.
    • En la lista El programa se puede ejecutar, selecciona Tanto si un usuario ha iniciado sesión como si no.
    • En la lista Modo de unidad, selecciona Se ejecuta con nombre UNC.

    Página Programa estándar del asistente.

    Figura 6. Especifique información sobre el programa estándar.

  7. Acepta los valores predeterminados para el resto del asistente y ciérralo.

Una vez que crees el paquete de implementación, impleméntalo en una colección para que los clientes reciban los archivos de catálogo. En este ejemplo, implementará el paquete que creó en una colección de pruebas:

  1. En el área de trabajo Biblioteca de software, vaya a Información general\Administración de aplicaciones\Paquetes, haga clic con el botón derecho en el paquete de archivos de catálogo y, a continuación, seleccione Implementar.

  2. En la página General , seleccione la colección de pruebas y, a continuación, seleccione Siguiente.

  3. En la página Contenido , seleccione Agregar para seleccionar el punto de distribución para servir contenido a la colección seleccionada y, a continuación, seleccione Siguiente.

  4. En la página Configuración de implementación , selecciona Obligatorio en el cuadro Finalidad .

  5. En la página Programación , seleccione Nuevo.

  6. En el cuadro de diálogo Programación de asignación , seleccione Asignar inmediatamente después de este evento, establezca el valor en Lo antes posible y, a continuación, seleccione Aceptar.

  7. En la página Programación , seleccione Siguiente.

  8. En la página Experiencia del usuario , como se muestra en la figura 7, establezca las siguientes opciones y, a continuación, seleccione Siguiente:

    • Activa la casilla Instalación de software.

    • Activa la casilla Confirmar cambios dentro de la fecha límite o durante un período de mantenimiento (es necesario reiniciar).

    Asistente para implementar software, página Experiencia del usuario.

    Figura 7. Especifique la experiencia del usuario.

  9. En la página Puntos de distribución , en el cuadro Opciones de implementación , seleccione Ejecutar programa desde el punto de distribución y, a continuación, seleccione Siguiente.

  10. En la página Resumen , revise las selecciones y seleccione Siguiente.

  11. Cierra el asistente.

Inventario de archivos de catálogo con Microsoft Configuration Manager

Cuando se han implementado archivos de catálogo en los equipos del entorno, ya sea mediante la directiva de grupo o Configuration Manager, puede inventariarlos con la característica de inventario de software de Configuration Manager.

Puede configurar el inventario de software para buscar archivos de catálogo en los sistemas administrados mediante la creación e implementación de una nueva directiva de configuración de cliente.

Nota

Una convención de nomenclatura estándar para los archivos de catálogo simplificará significativamente el proceso de inventario de software de archivos de catálogo. En este ejemplo, se ha agregado -Contoso a todos los nombres de archivos de catálogo.

  1. Abre la consola de Configuration Manager y selecciona el área de trabajo Administración.

  2. Vaya a Información general\Configuración de cliente, haga clic con el botón derecho en Configuración de cliente y, a continuación, seleccione Crear configuración de dispositivo cliente personalizada.

  3. Asigna un nombre a la nueva directiva y, en Seleccionar y establecer la configuración personalizada para los dispositivos cliente, activa la casilla Inventario de software, como se muestra en la figura 8.

    Cree la configuración de dispositivo cliente personalizada.

    Figura 8. Seleccione la configuración personalizada.

  4. En el panel de navegación, seleccione Inventario de software y, a continuación, seleccione Establecer tipos, como se muestra en la figura 9.

    Configuración de inventario de software para dispositivos.

    Figura 9. Establezca el inventario de software.

  5. En el cuadro de diálogo Configurar configuración de cliente , seleccione el botón Inicio para abrir el cuadro de diálogo Propiedades del archivo inventarios .

  6. En el cuadro Nombre , escriba un nombre como *Contoso.caty, a continuación, seleccione Establecer.

    Nota

    Al escribir el nombre, siga la convención de nomenclatura para los archivos de catálogo.

  7. En el cuadro de diálogo Propiedades de ruta de acceso , seleccione Variable o nombre de ruta de acceso y, a continuación, escriba C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} en el cuadro, como se muestra en la figura 10.

    Propiedades de ruta de acceso, especificando una ruta de acceso.

    Figura 10. Establezca las propiedades de la ruta de acceso.

  8. Seleccione Aceptar.

  9. Ahora que ha creado la directiva de configuración de cliente, haga clic con el botón derecho en la nueva directiva, seleccione Implementar y, a continuación, elija la colección en la que desea hacer un inventario de los archivos de catálogo.

En el momento del siguiente ciclo de inventario de software, cuando los clientes de destino reciban la nueva directiva de configuración de cliente, podrá ver los archivos inventariados en los informes de Configuration Manager integrados o en el Explorador de recursos. Para ver los archivos inventariados en un cliente en el Explorador de recursos, realiza los siguientes pasos:

  1. Abre la consola del Administrador de configuración y selecciona el área de trabajo Activos y compatibilidad.

  2. Vaya a Información general\Dispositivos y busque el dispositivo en el que desea ver los archivos inventariados.

  3. Haga clic con el botón derecho en el equipo, seleccione Inicio y, a continuación, seleccione Explorador de recursos.

  4. En el Explorador de recursos, vaya a Software\File Details para ver los archivos de catálogo inventariados.

Nota

Si no se muestra nada en esta vista, vaya a Software\Last Software Scan en el Explorador de recursos para comprobar que el cliente ha completado recientemente un examen de inventario de software.

Permitir aplicaciones firmadas por el certificado de firma de catálogo en la directiva WDAC

Ahora que tiene el archivo de catálogo firmado, puede agregar una regla de firmante a la directiva que permita cualquier cosa firmada con ese certificado. Si aún no ha creado una directiva WDAC, consulte la guía de diseño de Windows Defender Application Control.

En un equipo donde se ha implementado el archivo de catálogo firmado, puede usar New-CiPolicyRule para crear una regla de firmante a partir de cualquier archivo incluido en ese catálogo. A continuación, use Merge-CiPolicy para agregar la regla al XML de la directiva. Asegúrese de reemplazar los valores de ruta de acceso en el ejemplo siguiente:

$Rules = New-CIPolicyRule -DriverFilePath <path to the file covered by the signed catalog> -Level Publisher
Merge-CIPolicy -OutputFilePath <path to your policy XML> -PolicyPaths <path to your policy XML> -Rules $Rules

Como alternativa, puede usar Add-SignerRule para agregar una regla de firmante a la directiva desde el archivo de certificado (.cer). Puede guardar fácilmente el archivo .cer del archivo de catálogo firmado.

  1. Haga clic con el botón derecho en el archivo de catálogo y, a continuación, seleccione Propiedades.
  2. En la pestaña Firmas digitales , seleccione la firma de la lista y, a continuación, seleccione Detalles.
  3. Seleccione Ver certificado para ver las propiedades del certificado hoja.
  4. Seleccione la pestaña Detalles y seleccione Copiar en archivo. Esta acción ejecuta el Asistente para exportación de certificados.
  5. Complete el asistente con la opción predeterminada Exportar formato de archivo y especifique una ubicación y un nombre de archivo para guardar el archivo .cer.

Nota

Estos pasos seleccionan el nivel más bajo de la cadena de certificados, también denominado certificado "hoja". En su lugar, puede optar por usar el certificado de emisor intermedio o raíz del certificado. Para usar un certificado diferente en la cadena, cambie a la pestaña Ruta de certificación después del paso 3 anterior, seleccione el nivel de certificado que desea usar y seleccione Ver certificado. A continuación, complete los pasos restantes.

En el ejemplo siguiente se usa el archivo .cer para agregar una regla de firmante a los escenarios de firma del modo de usuario y kernel. Asegúrese de reemplazar los valores de ruta de acceso en el ejemplo siguiente:

Add-SignerRule -FilePath <path to your policy XML> -CertificatePath <path to your certificate .cer file> -User -Kernel

Problemas conocidos con el inspector de paquetes

Algunos de los problemas conocidos con el Inspector de paquetes para compilar un archivo de catálogo son:

  • El tamaño del diario USN es demasiado pequeño para realizar un seguimiento de todos los archivos creados por el instalador

    • Para diagnosticar si el tamaño del diario USN es el problema, después de ejecutar a través del Inspector de paquetes:
      • Obtenga el valor de la clave reg en HKEY_CURRENT_USER/PackageInspectorRegistryKey/c: (este USN era el más reciente cuando ejecutó el inicio de PackageInspector). A continuación, use fsutil.exe para leer esa ubicación inicial. Reemplace "RegKeyValue" en el siguiente comando por el valor de la clave reg:
        fsutil usn readjournal C: startusn=RegKeyValue > inspectedusn.txt
      • El comando anterior debe devolver un error si los USN anteriores ya no existen debido al desbordamiento.
      • Puede expandir el tamaño de Journal USN mediante: fsutil usn createjournal con un nuevo tamaño y delta de asignación. Fsutil usn queryjournal muestra el tamaño actual y la diferencia de asignación, por lo que el uso de un múltiplo puede ayudar.

  • CodeIntegrity: el registro de eventos operativo es demasiado pequeño para realizar un seguimiento de todos los archivos creados por el instalador.

    • Para diagnosticar si el tamaño del registro de eventos es el problema, después de ejecutar a través del Inspector de paquetes:
      • Abra Visor de eventos y expanda la aplicación y los servicios//Microsoft//Windows//CodeIntegrity//Operational. Compruebe si hay un evento de bloque de auditoría 3076 para el inicio del instalador inicial.
      • Para aumentar el tamaño del registro de eventos, en Visor de eventos haga clic con el botón derecho en el registro operativo, seleccione Propiedades y, a continuación, establezca nuevos valores.

  • Archivos del instalador o de la aplicación que cambian el hash cada vez que se instala o se ejecuta la aplicación

    • Algunas aplicaciones generan archivos en tiempo de ejecución cuyo valor hash es diferente cada vez. Para diagnosticar este problema, revise los valores hash de los eventos de bloque de auditoría 3076 (o 3077 eventos de cumplimiento) que se generan. Si cada vez que intenta ejecutar el archivo observa un nuevo evento de bloque con un hash diferente, el paquete no funciona con el Inspector de paquetes.

  • Archivos con un blob de firma no válido o archivos "no modificables" de otro modo

    • Este problema surge cuando se modificó un archivo firmado de forma que invalida el encabezado PE del archivo. Un archivo modificado de esta manera no se puede aplicar un hash según la especificación authenticode.
    • Aunque estos archivos "no modificables" no se pueden incluir en el archivo de catálogo creado por PackageInspector, debería poder permitirlos agregando una regla ALLOW hash a la directiva que usa el hash de archivo plano del archivo.
    • Este problema afecta a algunas versiones de paquetes de InstallShield que usan archivos DLL firmados en acciones personalizadas. InstallShield agrega marcadores de seguimiento al archivo (editándolo después de la firma) que deja el archivo en este estado "no modificable".