¿Cómo configurar Windows para ejecutar solo .exe con firma de certificado?

¿Cómo configurar Windows para ejecutar solo .exe con firma de certificado?

Quiero ejecutar (en una determinada computadora con Windows 10) solo esos exe. archivos, quién firmó mediante certificados, qué instalados en la computadora (pueden ser certificados de CA o mi propio certificado de prueba).

Ya probé esta solución (y muchas otras): ¿Cómo se configura Windows para que no ejecute archivos binarios manipulados?

pero ninguno resolvió mi problema.

Escribí dos aplicaciones "HelloWorld" (con firma de certificado y sin firma de certificado). Pero todas las soluciones que probé permiten ejecutar ambas aplicaciones.

¿Cómo configurar Windows10 para ejecutar solo .exe con firma de certificado?


Hay una configuración de AppLocker:

<AppLockerPolicy Version="1">
  <RuleCollection Type="Appx" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Dll" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Exe" EnforcementMode="Enabled">
    <FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(Default Rule) All files located in the Program Files folder" Description="Allows members of the Everyone group to run applications that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%PROGRAMFILES%\*" />
      </Conditions>
    </FilePathRule>
    <FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(Default Rule) All files located in the Windows folder" Description="Allows members of the Everyone group to run applications that are located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%WINDIR%\*" />
      </Conditions>
    </FilePathRule>
    <FilePublisherRule Id="d5c14ef6-5a5e-4863-aa49-a9ebbcab1afc" Name="Only run executables that are signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
          <BinaryVersionRange LowSection="*" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>
  </RuleCollection>
  <RuleCollection Type="Msi" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Script" EnforcementMode="NotConfigured" />
</AppLockerPolicy>

información relacionada