Como se configura o Windows para não executar binários adulterados?

2

Para ilustrar os benefícios da assinatura digital de certificados, eu escrevi um executável .NET "demo.exe", que chama uma função em "demo.core.dll". Eu assinei digitalmente os dois executáveis. Quando executado, imprime a mensagem "Olá. Como você está?"

A mensagem em "demo.core.dll" foi modificada para "Você foi hackeado" com um editor hexadecimal. A verificação do certificado digital em "demo.core.dll" falha. Execute "demo.exe", que mostra "Você foi hackeado".

Espero que o Windows não consiga executar a DLL.

Isso nega o valor de um certificado digital. Como configurar o Windows para não carregar binários adulterados com certificados inválidos?

    
por bloudraak 28.02.2014 / 03:57

1 resposta

4

Editar: eu esqueci AppLocker !

Antes de executar o procedimento a seguir, certifique-se de ter criado as regras padrão para a coleção de regras descrita em Impedindo que usuários padrão executem aplicativos por usuário.

Para permitir que apenas aplicativos assinados sejam executados

1.Para abrir o snap-in MMC da Diretiva de Segurança Local, clique em Iniciar, digite secpol.msc e pressione ENTER.

2.Na árvore de console, clique duas vezes em Políticas de controle de aplicativos e clique duas vezes em AppLocker.

3. Clique com o botão direito do mouse em Regras executáveis e clique em Criar nova regra.

CautionCaution

Esta regra impede que aplicativos não assinados sejam executados. Antes de implementar essa regra, verifique se todos os arquivos que você deseja executar em sua organização estão assinados digitalmente. Se algum aplicativo não estiver assinado, considere implementar um processo interno de assinatura para assinar aplicativos não assinados com uma chave de assinatura interna.

4.Na página Antes de começar, clique em Avançar.

5.Na página Permissões, clique em Avançar para aceitar as configurações padrão.

6.Na página Condições, clique em Avançar.

7.Na página do Publisher, observe que a configuração padrão é permitir que qualquer arquivo assinado seja executado e, em seguida, clique em Avançar.

8.Na página Exceções, clique em Avançar.

9.Na página Nome e Descrição, aceite o nome padrão ou insira um nome e descrição personalizados e clique em Criar.

    
por 28.02.2014 / 17:15