Noções básicas sobre a condição de regra de fornecedor no AppLocker

Este artigo explica como aplicar a condição de regra de publicador do AppLocker e que controlos estão disponíveis.

As condições do publicador só podem ser feitas para ficheiros assinados digitalmente. Esta condição identifica o ficheiro de uma aplicação com base na assinatura digital e nos atributos expandidos. A assinatura digital contém informações sobre a empresa que criou a aplicação (o publicador). Os atributos expandidos, que são obtidos a partir do recurso binário, contêm o nome do produto do qual a aplicação faz parte e o número da versão da aplicação. O publicador pode ser uma empresa de desenvolvimento de software, como a Microsoft, ou o departamento de Tecnologias de Informação da sua organização. As condições do publicador são mais fáceis de manter do que as condições de hash de ficheiros e são mais seguras do que as condições de caminho. As regras especificadas ao nível da versão poderão ter de ser atualizadas quando for lançada uma nova versão do ficheiro. A tabela seguinte descreve as vantagens e desvantagens da condição de publicador.

Vantagens da condição do publicador Desvantagens da condição do publicador
  • A atualização frequente não é necessária.
  • Pode aplicar valores diferentes num certificado.
  • Uma única regra pode ser utilizada para permitir um conjunto de produtos completo.
  • Pode utilizar o caráter universal asterisco (*) dentro de uma regra de publicador para especificar que qualquer valor deve ser correspondido.
    		•
  • O ficheiro tem de estar assinado.
  • Embora uma única regra possa ser utilizada para permitir um conjunto de produtos completo, todos os ficheiros no conjunto de aplicações têm de ser assinados uniformemente.
    		•

    Os carateres universais podem ser utilizados como valores nos campos de regra do publicador de acordo com as seguintes especificações:

    • Editor

      O caráter asterisco (*) utilizado por si só representa qualquer publicador. Quando combinada com qualquer valor de cadeia, a regra é limitada ao publicador com um valor no certificado assinado que corresponde à cadeia de carateres. Por outras palavras, o asterisco não é tratado como um caráter universal se for utilizado com outros carateres neste campo. Por exemplo, utilizar os carateres "M*" limita o nome do publicador a apenas um publicador com o nome "M*". Utilizar os carateres "*x*" limita o nome do publicador apenas ao nome "*x*". Um ponto de interrogação (?) não é um caráter universal válido neste campo.

    • Nome do produto

      O caráter asterisco (*) utilizado por si só representa qualquer nome de produto. Quando combinada com qualquer valor de cadeia, a regra é limitada ao produto do publicador com um valor no certificado assinado que corresponde à cadeia de carateres. Por outras palavras, o asterisco não é tratado como um caráter universal se for utilizado com outros carateres neste campo. Um ponto de interrogação (?) não é um caráter universal válido neste campo.

    • Nome do arquivo

      Os carateres asterisco (*) ou de ponto de interrogação (?) utilizados por si próprios representam nomes de ficheiros. Quando combinada com qualquer valor de cadeia, a cadeia é correspondida com qualquer nome de ficheiro que contenha essa cadeia.

    • Versão do ficheiro

      O caráter asterisco (*) utilizado por si só representa qualquer versão do ficheiro. Se quiser limitar a versão do ficheiro a uma versão específica ou como ponto de partida, pode indicar a versão do ficheiro e, em seguida, utilizar as seguintes opções para aplicar limites:

      • Exatamente. A regra aplica-se apenas a esta versão da aplicação
      • E acima. A regra aplica-se a esta versão e a todas as versões posteriores.
      • E abaixo. A regra aplica-se a esta versão e a todas as versões anteriores.

    A tabela seguinte descreve como uma condição de publicador é aplicada.

    Opção A condição do editor permite ou nega...
    Todos os ficheiros assinados Todos os ficheiros assinados por um publicador.
    Somente fornecedor Todos os arquivos assinados pelo fornecedor identificado.
    Nome do produto e do publicador Todos os ficheiros do produto especificado assinados pelo publicador nomeado.
    Publisher, nome do produto e nome de ficheiro Qualquer versão do ficheiro com nome para o produto com nome e assinada pelo publicador.
    Publisher, nome do produto, nome do ficheiro e versão do ficheiro Exatamente
    A versão especificada do ficheiro com nome para o produto nomeado assinado pelo publicador.
    Publisher, nome do produto, nome do ficheiro e versão do ficheiro E acima
    A versão especificada do ficheiro com nome e quaisquer versões posteriores do ficheiro para o produto nomeado assinado pelo publicador.
    Publisher, nome do produto, nome do ficheiro e versão do ficheiro E abaixo
    A versão especificada do ficheiro com nome e quaisquer versões mais antigas do produto com nome assinado pelo publicador.
    Personalizado Pode editar os campos Publicador, Nome do produto, Nome do ficheiro e Versão para criar uma regra personalizada.

    Para obter uma descrição geral dos três tipos de condições de regra do AppLocker e as suas vantagens e desvantagens, veja Compreender os tipos de condição de regra do AppLocker.