Windows 中的签名二进制文件

不可能限制于已签名的二进制文件据我所知，一般来说是这样。但是，如果您希望能够定义特定的二进制文件和/或发布者（即来自特定供应商的签名二进制文件），那么是可能。这可以通过应用程序锁。显然它仅在 Windows 7 Enterprise 和 Ultimate 以及 Windows Server 2008 中强制执行。

虽然您可以在运行 Windows 7 Professional 的计算机上创建 AppLocker 规则，但这些规则不会在这些计算机上强制执行。但是，您可以在运行 Windows 7 Professional 的计算机上创建规则，然后导出策略以在运行支持 AppLocker 规则强制执行的 Windows 版本的计算机上实施。

基本上，它是通过组策略设置的。我在这里向你介绍一个相对简单的设置。

1. 打开组策略编辑器（需要专业版、企业版或旗舰版）。gpedit.msc在开始菜单中就可以了。

2. 展开并导航至左侧的Local Computer Policy> Computer Configuration> Windows Settings> Security Settings> Application Control Policies> 。AppLocker

3. 通过或右键单击菜单创建新规则Action。首先，您需要创建默认规则。默认情况下，Windows 和 Program Files 中的所有可执行文件都是允许的，使用 NTFS 权限以确保仅有的管理员（以及系统等，不是普通用户）有写对这些文件夹的权限，否则用户可能会将未签名的可执行文件转储到其中并运行它们。我们必须允许其中已有的所有内容，否则您的操作系统将崩溃。

   默认规则操作是仅运行 AppLocker 规则集合中明确允许的应用程序。虽然没有设置来配置默认规则行为，但您可以使用 AppLocker 的默认规则集合来覆盖默认规则行为。为此，请创建一个允许规则，并将路径条件设置为 *。此配置将允许所有文件运行。然后，您可以创建拒绝规则来阻止特定文件。

4. 创建新规则。使用它来允许发布者或文件哈希。您需要其中任何一个的示例。

   引用微软文章的常见问题解答：

   • 发行商规则条件只能用于由软件发行商进行数字签名的文件。此条件类型使用数字证书（发行商名称和产品名称）和文件属性（文件名和文件版本）。可以为整个产品套件创建此类规则，这使得规则在大多数情况下在应用程序更新时仍然适用。

   • 路径规则条件基于特定应用程序的文件或文件夹安装路径。

   • 文件哈希规则条件基于 Windows 为每个文件加密计算的唯一文件哈希。此条件类型是唯一的，因此每次发布者更新文件时，您都必须创建新规则。

   • 我不会使用路径，除非您试图阻止的人被拒绝写访问权限。

5. 我没有当前安装的企业版或旗舰版来进行检查，但我相信您必须在可执行规则（配置 AppLocker 执行？）之上启用 AppLocker。

---

另一种方法是仅允许未签名的可执行文件以基本用户身份运行，即禁用未签名文件的 UAC 提升。这也可以通过组策略完成，用户帐户控制：仅提升已签名和验证的可执行文件。

这具有用户能够自行签名文件的固有弱点。恶意软件也可能使用通用证书进行签名，这就是 AppLocker（以及 7 之前的软件限制策略）更加安全的原因。

是的，verifier.exe。我会确保使用 verifier.exe /bootmode oneboot 作为您设置的任何内容的补充 - 因为这可能会在启动期间或在登录屏幕出现后立即使 PC 蓝屏。如果启动到恢复/winPE 模式，可以通过在注册表中禁用验证程序服务来解决这两种情况。

/volatile 和 /reset 也很有用！