Présentation de la condition de règle d’éditeur dans AppLocker
Cet article explique comment appliquer la condition de règle d’éditeur AppLocker et les contrôles disponibles.
Les conditions de l’éditeur ne peuvent être établies que pour les fichiers signés numériquement. Cette condition identifie le fichier d’une application en fonction de sa signature numérique et des attributs étendus. La signature numérique contient des informations sur la société qui a créé l’application (l’éditeur). Les attributs étendus, qui sont obtenus à partir de la ressource binaire, contiennent le nom du produit dont l’application fait partie et le numéro de version de l’application. L’éditeur peut être une société de développement de logiciels, telle que Microsoft, ou le service informatique de votre organization. Les conditions d’éditeur sont plus faciles à gérer que les conditions de hachage de fichier et sont plus sécurisées que les conditions de chemin d’accès. Les règles spécifiées au niveau de la version doivent peut-être être mises à jour lorsqu’une nouvelle version du fichier est publiée. Le tableau suivant décrit les avantages et les inconvénients de la condition d’éditeur.
| Avantages de la condition de l’éditeur | Inconvénients des conditions d’éditeur |
|---|---|
Les caractères génériques peuvent être utilisés comme valeurs dans les champs de règle d’éditeur selon les spécifications suivantes :
Éditeur
L’astérisque (*) utilisé par lui-même représente n’importe quel éditeur. Lorsqu’elle est combinée avec n’importe quelle valeur de chaîne, la règle est limitée à l’éditeur avec une valeur dans le certificat signé qui correspond à la chaîne de caractères. En d’autres termes, l’astérisque n’est pas traité comme un caractère générique s’il est utilisé avec d’autres caractères dans ce champ. Par exemple, l’utilisation des caractères « M* » limite le nom de l’éditeur à un serveur de publication portant le nom « M* ». L’utilisation des caractères « *x* » limite le nom de l’éditeur uniquement au nom « *x* ». Un point d’interrogation ( ?) n’est pas un caractère générique valide dans ce champ.
Nom du produit
L’astérisque (*) utilisé par lui-même représente n’importe quel nom de produit. Lorsqu’elle est combinée avec une valeur de chaîne, la règle est limitée au produit de l’éditeur avec une valeur dans le certificat signé qui correspond à la chaîne de caractères. En d’autres termes, l’astérisque n’est pas traité comme un caractère générique s’il est utilisé avec d’autres caractères dans ce champ. Un point d’interrogation ( ?) n’est pas un caractère générique valide dans ce champ.
Nom de fichier
Les caractères astérisque (*) ou point d’interrogation ( ?) utilisés par eux-mêmes représentent les noms de fichiers. Lorsqu’elle est combinée avec une valeur de chaîne, la chaîne est mise en correspondance avec n’importe quel nom de fichier contenant cette chaîne.
Version du fichier
L’astérisque (*) utilisé par lui-même représente n’importe quelle version de fichier. Si vous souhaitez limiter la version du fichier à une version spécifique ou comme point de départ, vous pouvez indiquer la version du fichier, puis utiliser les options suivantes pour appliquer des limites :
- Exactement. La règle s’applique uniquement à cette version de l’application
- Et au-dessus. La règle s’applique à cette version et à toutes les versions ultérieures.
- Et en dessous. La règle s’applique à cette version et à toutes les versions antérieures.
Le tableau suivant décrit comment une condition d’éditeur est appliquée.
| Option | La condition d’éditeur autorise ou refuse... |
|---|---|
| Tous les fichiers signés | Tous les fichiers signés par un éditeur. |
| Éditeur uniquement | Tous les fichiers signés par l’éditeur nommé. |
| Nom du serveur de publication et du produit | Tous les fichiers du produit spécifié signés par l’éditeur nommé. |
| Serveur de publication, nom du produit et nom de fichier | Toute version du fichier nommé pour le produit nommé et signée par l’éditeur. |
| Serveur de publication, nom du produit, nom de fichier et version du fichier | Exactement Version spécifiée du fichier nommé pour le produit nommé signé par l’éditeur. |
| Serveur de publication, nom du produit, nom de fichier et version du fichier | Et au-dessus Version spécifiée du fichier nommé et toutes les versions ultérieures du fichier pour le produit nommé signé par l’éditeur. |
| Serveur de publication, nom du produit, nom de fichier et version du fichier | Et ci-dessous Version spécifiée du fichier nommé et des versions antérieures du produit nommé signé par l’éditeur. |
| Personnalisée | Vous pouvez modifier les champs Serveur de publication, Nom du produit, Nom de fichier et Version pour créer une règle personnalisée. |
Pour obtenir une vue d’ensemble des trois types de conditions de règle AppLocker et de leurs avantages et inconvénients, consultez Présentation des types de conditions de règle AppLocker.
Articles connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour