Share via

Distribuire file di catalogo per supportare Windows Defender Application Control

Nota

Alcune funzionalità di controllo delle applicazioni Windows Defender sono disponibili solo in versioni specifiche di Windows. Per altre informazioni, vedere Windows Defender disponibilità delle funzionalità di Controllo applicazioni.

I file di catalogo possono essere importanti nella distribuzione di Windows Defender controllo delle applicazioni (WDAC) se si hanno applicazioni line-of-business non firmate per le quali il processo di firma è difficile. È anche possibile usare i file di catalogo per aggiungere la propria firma alle app che si ottengono da fornitori di software indipendenti (ISV) quando non si vuole considerare attendibile tutto il codice firmato da tale ISV. In questo modo, i file di catalogo offrono un modo pratico per "benedire" le app da usare nell'ambiente gestito da WDAC. Inoltre, è possibile creare file di catalogo per le app esistenti senza richiedere l'accesso al codice sorgente originale o senza dover effettuare un repackaging costoso.

È necessario ottenere un certificato di firma del codice per uso personale e usarlo per firmare il file di catalogo. Distribuire quindi il file di catalogo firmato usando il meccanismo di distribuzione del contenuto preferito.

Aggiungere infine una regola del firmatario ai criteri WDAC per il certificato di firma. Quindi, tutte le app coperte dai file di catalogo firmati possono essere eseguite, anche se le app non erano firmate in precedenza. Con questa base, è possibile creare più facilmente un criterio WDAC che blocca tutto il codice non firmato, perché la maggior parte del malware non è firmato.

Creare file di catalogo con Package Inspector

Per creare un file di catalogo per un'app esistente, è possibile usare uno strumento denominato Package Inspector fornito con Windows.

  1. Applicare un criterio in modalità di controllo al computer in cui si esegue Controllo pacchetti. Package Inspector usa gli eventi di controllo per includere gli hash nel file di catalogo per eventuali file di installazione temporanei aggiunti e quindi rimossi dal computer durante il processo di installazione. I criteri della modalità di controllo non devono consentire i file binari dell'app o potrebbero mancare alcuni file critici necessari nel file di catalogo.

    Nota

    Non sarà possibile completare questo processo se viene eseguito in un sistema con criteri applicati, a meno che il criterio applicato non consenta già l'esecuzione dell'app.

    È possibile usare questo esempio di PowerShell per creare una copia del modello di DefaultWindows_Audit.xml:

    Copy-Item -Path $env:windir\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml -Destination $env:USERPROFILE\Desktop\
$PolicyId = Set-CIPolicyIdInfo -FilePath $env:USERPROFILE\Desktop\DefaultWindows_Audit.xml -PolicyName "Package Inspector Audit Policy" -ResetPolicyID
$PolicyBinary = $env:USERPROFILE+"\Desktop\"+$PolicyId.substring(11)+".cip"

    Applicare quindi i criteri come descritto in Distribuire Windows Defender i criteri di controllo delle applicazioni con script.

  2. Avviare Package Inspector per monitorare la creazione di file in un'unità locale in cui si installa l'app, ad esempio l'unità C:

    PackageInspector.exe Start C:

    Importante

    Ogni file scritto nell'unità visualizzata con Package Inspector verrà incluso nel catalogo creato. Tenere presente qualsiasi altro processo che potrebbe essere in esecuzione e creare file nell'unità.

  3. Copiare il supporto di installazione nell'unità visualizzata con Package Inspector, in modo che il programma di installazione effettivo sia incluso nel file di catalogo finale. Se si ignora questo passaggio, è possibile consentire l'esecuzione dell'app , ma non essere effettivamente in grado di installarla.

  4. Installare l'app.

  5. Avviare l'app per assicurarsi che i file creati all'avvio iniziale siano inclusi nel file di catalogo.

  6. Usare l'app come si farebbe normalmente, in modo che i file creati durante l'uso normale siano inclusi nel file di catalogo. Ad esempio, alcune app possono scaricare altri file al primo uso di una funzionalità all'interno dell'app. Assicurarsi anche di verificare la disponibilità di aggiornamenti dell'app se l'app dispone di tale funzionalità.

  7. Chiudere e riaprire l'applicazione per assicurarsi che l'analisi abbia acquisito tutti i file binari.

  8. Se appropriato, con Package Inspector ancora in esecuzione, ripetere i passaggi precedenti per qualsiasi altra app che si vuole includere nel catalogo.

  9. Dopo aver confermato che i passaggi precedenti sono stati completati, usare i comandi seguenti per arrestare Package Inspector. Crea un file di catalogo e un file di definizione del catalogo nel percorso specificato. Usare una convenzione di denominazione per i file di catalogo per semplificare la gestione dei file di catalogo distribuiti nel tempo. I nomi di file usati in questo esempio sono LOBApp-Contoso.cat (file di catalogo) e LOBApp.cdf (file di definizione).

    Per l'ultimo comando, che arresta Package Inspector, assicurarsi di specificare la stessa unità locale visualizzata con Package Inspector, ad esempio C:.

    $ExamplePath=$env:userprofile+"\Desktop"
$CatFileName=$ExamplePath+"\LOBApp-Contoso.cat"
$CatDefName=$ExamplePath+"\LOBApp.cdf"
PackageInspector.exe Stop C: -Name $CatFileName -cdfpath $CatDefName

Nota

Package Inspector cataloga i valori hash per ogni file individuato. Se le applicazioni analizzate vengono aggiornate, completare di nuovo questo processo per considerare attendibili i valori hash dei nuovi file binari.

Al termine, lo strumento salva i file sul desktop. È possibile visualizzare il *.cdf file con un editor di testo e visualizzare i file inclusi in Controllo pacchetti. È anche possibile fare doppio clic sul *.cat file per visualizzarne il contenuto e verificare la presenza di un hash di file specifico.

Firmare il file di catalogo

Dopo aver creato un file di catalogo per l'app, è possibile firmarlo. È consigliabile usare il servizio Firma attendibile di Microsoft per la firma del catalogo. Facoltativamente, è possibile firmare manualmente il catalogo usando Signtool usando le istruzioni seguenti.

Firma del catalogo con SignTool.exe

Se è stato acquistato un certificato di firma del codice o ne è stato emesso uno dalla propria infrastruttura a chiave pubblica, è possibile usare SignTool.exe per firmare i file di catalogo.

Hai bisogno:

  • SignTool.exe, disponibile in Windows Software Development Kit (SDK).
  • File di catalogo creato in precedenza.
  • Certificato di firma del codice emesso da un'autorità di certificazione interna o da un certificato di firma del codice acquistato.

Per il certificato di firma del codice usato per firmare il file di catalogo, importarlo nell'archivio personale dell'utente che firma. Quindi, firmare il file di catalogo esistente copiando ognuno dei comandi seguenti in una sessione di Windows PowerShell con privilegi elevati.

  1. Inizializzare le variabili da usare. Sostituire le $ExamplePath variabili e $CatFileName in base alle esigenze:

     $ExamplePath=$env:userprofile+"\Desktop"
 $CatFileName=$ExamplePath+"\LOBApp-Contoso.cat"

  2. Firma il file di catalogo con Signtool.exe:

     <path to signtool.exe> sign /n "ContosoSigningCert" /fd sha256 /v $CatFileName

    Nota

    La <Path to signtool.exe> variabile deve essere il percorso completo dell'utilità Signtool.exe. ContosoSigningCert rappresenta il nome del soggetto del certificato usato per firmare il file di catalogo. Questo certificato deve essere importato nel tuo archivio certificati personale, nel computer in cui vuoi firmare il file di catalogo.

    Per altre informazioni su Signtool.exe e tutti i commutatori aggiuntivi, vedere Strumento di firma.

  3. Verificare la firma digitale del file di catalogo. Fare clic con il pulsante destro del mouse sul file di catalogo e quindi scegliere Proprietà. Nella scheda Firme digitali verifica che sia presente il tuo certificato di firma con un algoritmo sha256, come illustrato nella figura 1.

    Elenco firma digitale nelle proprietà del file.

    Figura 1. Verificare che il certificato di firma esista.

Distribuire il file di catalogo negli endpoint gestiti

I file di catalogo in Windows vengono archiviati in %windir%\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}.

A scopo di test, è possibile copiare manualmente i file di catalogo firmati in questa cartella. Per la distribuzione su larga scala di file di catalogo firmati, usare le preferenze dei file di Criteri di gruppo o un prodotto di gestione dei sistemi aziendali, ad esempio Microsoft Configuration Manager.

Distribuire file di catalogo con Criteri di gruppo

Per semplificare la gestione dei file di catalogo, è possibile usare le preferenze di Criteri di gruppo per distribuire i file di catalogo nei computer appropriati nell'organizzazione.

Il processo seguente illustra la distribuzione di un file di catalogo firmato denominato LOBApp-Contoso.cat a un'unità organizzativa di test denominata PC abilitati per WDAC con un oggetto Criteri di gruppo denominato Contoso Catalog File GPO Test.

  1. Da un controller di dominio o da un computer client in cui sono installati strumenti di amministrazione remota del server, aprire Criteri di gruppo Management Console eseguendo GPMC.MSC o cercando gestione Criteri di gruppo.

  2. Creare un nuovo oggetto Criteri di gruppo: fare clic con il pulsante destro del mouse su un'unità organizzativa, ad esempio l'unità organizzativa PC abilitati per WDAC, quindi selezionare Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui, come illustrato nella figura 2.

    Nota

    È possibile usare qualsiasi nome di unità organizzativa. Inoltre, il filtro dei gruppi di sicurezza è un'opzione quando si considerano diversi modi di combinare i criteri WDAC.

    Criteri di gruppo Gestione creare un oggetto Criteri di gruppo.

    Figura 2. Creare un nuovo oggetto Criteri di gruppo.

  3. Assegnare un nome al nuovo oggetto Criteri di gruppo, ad esempio Contoso Catalog File GPO Test o qualsiasi nome preferito.

  4. Aprire il Editor gestione Criteri di gruppo: fare clic con il pulsante destro del mouse sul nuovo oggetto Criteri di gruppo e quindi scegliere Modifica.

  5. Nell'oggetto Criteri di gruppo selezionato passare a Configurazione computer\Preferenze\Impostazioni di Windows\File. Fare clic con il pulsante destro del mouse su File, scegliere Nuovo e quindi selezionare File, come illustrato nella figura 3.

    Criteri di gruppo Gestione Editor nuovo file.

    Figura 3. Creare un nuovo file.

  6. Configura la condivisione del file di catalogo.

    Per usare questa impostazione per la distribuzione coerente del file di catalogo (in questo esempio LOBApp-Contoso.cat), il file di origine deve trovarsi in una condivisione accessibile dall'account di ogni computer distribuito. In questo esempio viene utilizzata una condivisione in un computer che esegue Windows 10 denominata \\Contoso-Win10\Share. Il file di catalogo da distribuire viene copiato in questa condivisione.

  7. Per mantenere coerenti le versioni, nella finestra di dialogo Proprietà nuovo file , come illustrato nella figura 4, selezionare Sostituisci dall'elenco Azioni in modo che venga sempre usata la versione più recente.

    Proprietà file, opzione Sostituisci.

    Figura 4. Impostare le nuove proprietà del file.

  8. Nella casella File di origine digitare il nome della condivisione accessibile, con il nome del file di catalogo incluso. Ad esempio: \\Contoso-Win10\share\LOBApp-Contoso.cat.

  9. Nella casella File di destinazione digita il percorso e il nome file, ad esempio:

    C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\LOBApp-Contoso.cat

    Per il nome del file di catalogo, usare il nome del catalogo che si sta distribuendo.

  10. Nella scheda Comuni della finestra di dialogo Nuove proprietà file seleziona l'opzione Rimuovi elemento quando non viene più applicato. L'abilitazione di questa opzione garantisce che il file di catalogo venga rimosso da ogni sistema, nel caso in cui sia necessario interrompere l'attendibilità dell'applicazione.

  11. Selezionare OK per completare la creazione del file.

  12. Chiudere Criteri di gruppo Management Editor e quindi aggiornare i criteri nel computer di test che esegue Windows 10 o Windows 11 eseguendo GPUpdate.exe. Dopo aver aggiornato i criteri, verificare che il file di catalogo sia presente nel computer che C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} esegue Windows 10.

Distribuire i file di catalogo con Microsoft Configuration Manager

In alternativa ai criteri di gruppo, è possibile usare Configuration Manager per distribuire i file di catalogo nei computer gestiti nell'ambiente. Questo approccio può semplificare la distribuzione e la gestione di più file di catalogo e fornire report su quale catalogo è stato distribuito da ogni client o raccolta. Oltre alla distribuzione di questi file, Configuration Manager può essere usato anche per l'inventario dei file di catalogo attualmente distribuiti a scopo di creazione di report e conformità.

Completa i passaggi seguenti per creare un nuovo pacchetto di distribuzione per i file di catalogo:

Nota

Nell'esempio seguente viene utilizzata una condivisione di rete denominata \\Shares\CatalogShare come origine per i file di catalogo. Se si hanno file di catalogo specifici della raccolta o si preferisce distribuirli singolarmente, usare la struttura di cartelle più adatta all'organizzazione.

  1. Apri la console di Configuration Manager e seleziona l'area di lavoro Raccolta software.

  2. Passare a Panoramica\Gestione applicazioni, fare clic con il pulsante destro del mouse su Pacchetti e quindi scegliere Crea pacchetto.

  3. Assegna il nome al pacchetto, imposta come produttore la tua organizzazione e seleziona un numero di versione appropriato.

    Creazione guidata pacchetto e programma.

    Figura 5. Specificare le informazioni sul nuovo pacchetto.

  4. Selezionare Avanti e quindi programma Standard come tipo di programma.

  5. Nella pagina Programma Standard selezionare un nome e quindi impostare la proprietà Riga di comando sul comando seguente:

    XCopy \\Shares\CatalogShare C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} /H /K /E /Y

  6. Nella pagina Programma Standard selezionare le opzioni seguenti, come illustrato nella figura 6:

    • In Nome digita un nome, ad esempio Contoso Catalog File Copy Program.
    • In Riga di comando passa al percorso del programma.
    • Nella cartella Avvio digitare C:\Windows\System32.
    • Nell'elenco Esegui seleziona Nascosto.
    • Nell'elenco Requisiti per esecuzione programma seleziona Indipendentemente dalla connessione degli utenti.
    • Nell'elenco Modalità unità seleziona Viene eseguito con nome UNC.

    Pagina Programma Standard della procedura guidata.

    Figura 6. Specificare informazioni sul programma standard.

  7. Accetta le impostazioni predefinite per il resto della procedura guidata e quindi chiudi la procedura guidata.

Dopo aver creato il pacchetto di distribuzione, distribuiscilo in una raccolta in modo che i client ricevano i file di catalogo. In questo esempio si distribuisce il pacchetto creato in una raccolta di test:

  1. Nell'area di lavoro Raccolta software passare a Panoramica\Gestione applicazioni\Pacchetti, fare clic con il pulsante destro del mouse sul pacchetto del file di catalogo e quindi scegliere Distribuisci.

  2. Nella pagina Generale selezionare la raccolta di test e quindi selezionare Avanti.

  3. Nella pagina Contenuto selezionare Aggiungi per selezionare il punto di distribuzione per distribuire il contenuto alla raccolta selezionata e quindi selezionare Avanti.

  4. Nella pagina Impostazioni distribuzione seleziona Richiesto nella casella Scopo.

  5. Nella pagina Pianificazione selezionare Nuovo.

  6. Nella finestra di dialogo Pianificazione assegnazione selezionare Assegna subito dopo questo evento, impostare il valore su Il più presto possibile e quindi selezionare OK.

  7. Nella pagina Pianificazione selezionare Avanti.

  8. Nella pagina Esperienza utente , come illustrato nella figura 7, impostare le opzioni seguenti e quindi selezionare Avanti:

    • Seleziona la casella di controllo Installazione software.

    • Seleziona la casella di controllo Invia modifiche alla scadenza o in una finestra di manutenzione (riavvio necessario).

    Distribuzione guidata software, pagina Esperienza utente.

    Figura 7. Specificare l'esperienza utente.

  9. Nella pagina Punti di distribuzione selezionare Esegui programma dal punto di distribuzione nella casella Opzioni distribuzione e quindi selezionare Avanti.

  10. Nella pagina Riepilogo esaminare le selezioni e quindi selezionare Avanti.

  11. Chiudi la procedura guidata.

File di catalogo di inventario con Microsoft Configuration Manager

Quando i file di catalogo sono stati distribuiti nei computer all'interno dell'ambiente, sia usando criteri di gruppo che Configuration Manager, è possibile inventariarli con la funzionalità di inventario software di Configuration Manager.

È possibile configurare l'inventario software per trovare i file di catalogo nei sistemi gestiti creando e distribuendo un nuovo criterio di impostazioni client.

Nota

Una convenzione di denominazione standard per i file di catalogo semplificherà in modo significativo il processo di inventario software dei file di catalogo. In questo esempio, a tutti i nomi di file di catalogo è stato aggiunto -Contoso .

  1. Apri la console di Configuration Manager e seleziona l'area di lavoro Amministrazione.

  2. Passare a Panoramica\Impostazioni client, fare clic con il pulsante destro del mouse su Impostazioni client e quindi scegliere Crea impostazioni dispositivo client personalizzate.

  3. Assegna un nome al nuovo criterio e seleziona la casella di controllo Inventario software nell'elenco Seleziona e quindi configura le impostazioni personalizzate per i dispositivi client, come illustrato nella figura 8.

    Creare impostazioni del dispositivo client personalizzate.

    Figura 8. Selezionare impostazioni personalizzate.

  4. Nel riquadro di spostamento selezionare Inventario software, quindi selezionare Imposta tipi, come illustrato nella figura 9.

    Impostazioni di inventario software per i dispositivi.

    Figura 9. Impostare l'inventario software.

  5. Nella finestra di dialogo Configura impostazione client selezionare il pulsante Start per aprire la finestra di dialogo Proprietà file inventari .

  6. Nella casella Nome digitare un nome, ad *Contoso.catesempio , quindi selezionare Imposta.

    Nota

    Quando si digita il nome, seguire la convenzione di denominazione per i file di catalogo.

  7. Nella finestra di dialogo Proprietà percorso selezionare Variabile o nome percorso e quindi digitare C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} nella casella, come illustrato nella figura 10.

    Proprietà percorso, specificando un percorso.

    Figura 10. Impostare le proprietà del percorso.

  8. Selezionare OK.

  9. Dopo aver creato i criteri delle impostazioni client, fare clic con il pulsante destro del mouse sul nuovo criterio, scegliere Distribuisci e quindi scegliere la raccolta in cui si desidera inventariare i file di catalogo.

Al momento del ciclo di inventario software successivo, quando i client di destinazione ricevono i nuovi criteri delle impostazioni client, sarà possibile visualizzare i file di inventario nei report di Configuration Manager predefiniti o in Esplora risorse. Per visualizzare i file in inventario in un client all'interno di Esplora inventario risorse, procedi come segue:

  1. Apri la console di Configuration Manager e seleziona l'area di lavoro Asset e conformità.

  2. Passare a Panoramica\Dispositivi e cercare il dispositivo in cui si desidera visualizzare i file di inventario.

  3. Fare clic con il pulsante destro del mouse sul computer, scegliere Avvia e quindi Selezionare Esplora risorse.

  4. In Esplora risorse passare a Software\Dettagli file per visualizzare i file di catalogo in inventario.

Nota

Se non viene visualizzato nulla in questa visualizzazione, passare a Software\Ultima analisi software in Esplora risorse per verificare che il client abbia completato di recente un'analisi dell'inventario software.

Consentire le app firmate dal certificato di firma del catalogo nei criteri WDAC

Ora che si dispone del file di catalogo firmato, è possibile aggiungere una regola del firmatario ai criteri che consente qualsiasi elemento firmato con tale certificato. Se non è ancora stato creato un criterio WDAC, vedere la guida alla progettazione Windows Defender Controllo applicazioni.

In un computer in cui è stato distribuito il file di catalogo firmato, è possibile usare New-CiPolicyRule per creare una regola di firma da qualsiasi file incluso nel catalogo. Usare quindi Merge-CiPolicy per aggiungere la regola al codice XML dei criteri. Assicurarsi di sostituire i valori del percorso nell'esempio seguente:

$Rules = New-CIPolicyRule -DriverFilePath <path to the file covered by the signed catalog> -Level Publisher
Merge-CIPolicy -OutputFilePath <path to your policy XML> -PolicyPaths <path to your policy XML> -Rules $Rules

In alternativa, è possibile usare Add-SignerRule per aggiungere una regola del firmatario ai criteri dal file del certificato (.cer). È possibile salvare facilmente il file .cer dal file di catalogo firmato.

  1. Fare clic con il pulsante destro del mouse sul file di catalogo e quindi scegliere Proprietà.
  2. Nella scheda Firme digitali selezionare la firma nell'elenco e quindi selezionare Dettagli.
  3. Selezionare Visualizza certificato per visualizzare le proprietà del certificato foglia.
  4. Selezionare la scheda Dettagli e selezionare Copia nel file. Questa azione esegue l'Esportazione guidata certificati.
  5. Completare la procedura guidata usando l'opzione predefinita Esporta formato file e specificando un percorso e un nome file per salvare il file .cer.

Nota

Questi passaggi selezionano il livello più basso della catena di certificati, detto anche certificato "foglia". È invece possibile scegliere di usare il certificato intermedio o radice dell'autorità di certificazione del certificato. Per usare un certificato diverso nella catena, passare alla scheda Percorso di certificazione dopo il passaggio 3 precedente, quindi selezionare il livello di certificato da usare e selezionare Visualizza certificato. Completare quindi i passaggi rimanenti.

Nell'esempio seguente viene usato il file .cer per aggiungere una regola del firmatario sia agli scenari di firma in modalità utente che in modalità kernel. Assicurarsi di sostituire i valori del percorso nell'esempio seguente:

Add-SignerRule -FilePath <path to your policy XML> -CertificatePath <path to your certificate .cer file> -User -Kernel

Problemi noti relativi all'uso di Controllo pacchetti

Alcuni dei problemi noti relativi all'uso di Package Inspector per compilare un file di catalogo sono:

  • Le dimensioni del journal USN sono troppo piccole per tenere traccia di tutti i file creati dal programma di installazione

    • Per diagnosticare se la dimensione del journal USN è il problema, dopo l'esecuzione tramite Package Inspector:
      • Ottenere il valore della chiave reg in HKEY_CURRENT_USER/PackageInspectorRegistryKey/c: (questo USN è stato il più recente all'avvio di PackageInspector). Usare quindi fsutil.exe per leggere la posizione iniziale. Sostituire "RegKeyValue" nel comando seguente con il valore della chiave reg:
        fsutil usn readjournal C: startusn=RegKeyValue > inspectedusn.txt
      • Il comando precedente deve restituire un errore se i nomi USN meno recenti non esistono più a causa dell'overflow
      • È possibile espandere le dimensioni Journal USN usando: fsutil usn createjournal con una nuova dimensione e un delta di allocazione. Fsutil usn queryjournal mostra le dimensioni correnti e il delta di allocazione, quindi l'uso di un multiplo di può essere utile.

  • CodeIntegrity - Il registro eventi operativo è troppo piccolo per tenere traccia di tutti i file creati dal programma di installazione

    • Per diagnosticare se la dimensione del registro eventi è il problema, dopo l'esecuzione tramite Controllo pacchetti:
      • Aprire Visualizzatore eventi ed espandere Application and Services//Microsoft//Windows//CodeIntegrity//Operational.Open Visualizzatore eventi and expand the Application and Services//Microsoft//Windows//CodeIntegrity//Operational. Verificare la presenza di un evento del blocco di controllo 3076 per l'avvio iniziale del programma di installazione.
      • Per aumentare le dimensioni del registro eventi, in Visualizzatore eventi fare clic con il pulsante destro del mouse sul log operativo, selezionare Proprietà e quindi impostare nuovi valori.

  • File del programma di installazione o dell'app che modificano l'hash ogni volta che l'app viene installata o eseguita

    • Alcune app generano file in fase di esecuzione il cui valore hash è diverso ogni volta. È possibile diagnosticare questo problema esaminando i valori hash negli eventi del blocco di controllo 3076 (o negli eventi di imposizione 3077) generati. Se ogni volta che si tenta di eseguire il file si osserva un nuovo evento di blocco con un hash diverso, il pacchetto non funziona con Package Inspector.

  • File con un BLOB di firma non valido o in altro modo file "non hashable"

    • Questo problema si verifica quando un file firmato è stato modificato in modo da invalidare l'intestazione PE del file. Un file modificato in questo modo non può essere hash in base alla specifica Authenticode.
    • Anche se questi file "non hashable" non possono essere inclusi nel file di catalogo creato da PackageInspector, è consigliabile consentirli aggiungendo una regola ALLOW hash ai criteri che usa l'hash del file flat del file.
    • Questo problema interessa alcune versioni dei pacchetti InstallShield che usano file DLL firmati in azioni personalizzate. InstallShield aggiunge marcatori di rilevamento al file (modificandolo dopo la firma) che lascia il file nello stato "non hashable".