
Ich möchte (auf einem bestimmten Computer mit Windows 10) nur die EXE-Dateien ausführen, die mit auf dem Computer installierten Zertifikaten signiert sind (das können Zertifikate einer Zertifizierungsstelle oder mein eigenes Testzertifikat sein).
Ich habe diese Lösung (und viele andere) bereits ausprobiert: Wie konfiguriert man Windows so, dass manipulierte Binärdateien nicht ausgeführt werden?
aber keines davon hat mein Problem gelöst.
Ich habe zwei "HelloWorld"-Apps geschrieben (mit und ohne Zertifikatsignatur). Aber alle Lösungen, die ich ausprobiert habe, ermöglichen die Ausführung beider Apps.
Wie konfiguriere ich Windows 10, um nur .exe mit Zertifikatsignatur auszuführen?
Es gibt eine AppLocker-Konfiguration:
<AppLockerPolicy Version="1">
<RuleCollection Type="Appx" EnforcementMode="NotConfigured" />
<RuleCollection Type="Dll" EnforcementMode="NotConfigured" />
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(Default Rule) All files located in the Program Files folder" Description="Allows members of the Everyone group to run applications that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%PROGRAMFILES%\*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(Default Rule) All files located in the Windows folder" Description="Allows members of the Everyone group to run applications that are located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="%WINDIR%\*" />
</Conditions>
</FilePathRule>
<FilePublisherRule Id="d5c14ef6-5a5e-4863-aa49-a9ebbcab1afc" Name="Only run executables that are signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
<RuleCollection Type="Msi" EnforcementMode="NotConfigured" />
<RuleCollection Type="Script" EnforcementMode="NotConfigured" />
</AppLockerPolicy>