Чтобы проиллюстрировать преимущества цифровой подписи сертификатов, я написал исполняемый файл .NET demo.exe, который вызывает функцию в demo.core.dll. Я подписал оба исполняемых файла цифровой подписью. При запуске выводится сообщение «Привет. Как дела?».
Сообщение в "demo.core.dll" было изменено на "Вас взломали" с помощью шестнадцатеричного редактора. Проверка цифрового сертификата на demo.core.dll не удалась. Запустите «demo.exe», который отобразит «Вас взломали».
Я ожидаю, что Windows не сможет выполнить DLL.
Это сводит на нет ценность цифрового сертификата. Как настроить Windows, чтобы не загружать измененные двоичные файлы с недействительными сертификатами?
Изменить: я забыл AppLocker!
Перед выполнением следующей процедуры убедитесь, что вы создали правила по умолчанию для коллекции правил, описанной в разделе Предотвращение запуска пользовательских приложений для стандартных пользователей.
Чтобы разрешить запуск только подписанных приложений
1. Чтобы открыть оснастку MMC локальной политики безопасности, нажмите Пуск, введите secpol.msc и нажмите клавишу ВВОД.
2. В дереве консоли дважды щелкните Политики управления приложениями, а затем дважды щелкните AppLocker.
3. Щелкните правой кнопкой мыши «Исполняемые правила» и выберите «Создать новое правило».
Осторожно Осторожно
Это правило предотвращает запуск неподписанных приложений. Перед внедрением этого правила убедитесь, что все файлы, которые вы хотите запустить в своей организации, имеют цифровую подпись. Если какие-либо приложения не подписаны, рассмотрите возможность внедрения процесса внутренней подписи для подписания неподписанных приложений с помощью внутреннего ключа подписи.
4. На странице «Перед началом работы» нажмите «Далее».
5. На странице «Разрешения» нажмите «Далее», чтобы принять настройки по умолчанию.
6. На странице «Условия» нажмите «Далее».
7. Обратите внимание, что на странице «Издатель» по умолчанию разрешен запуск любого подписанного файла, а затем нажмите «Далее».
8. На странице "Исключения" нажмите "Далее".
9. На странице «Имя и описание» примите имя по умолчанию или введите собственное имя и описание, а затем нажмите «Создать».