Как настроить Windows на выполнение только .exe с подписью сертификата?

tag-icon tag-icon certificate windows-10 executable
Как настроить Windows на выполнение только .exe с подписью сертификата?

Я хочу запускать (на определенном компьютере с Windows 10) только те exe-файлы, которые подписаны сертификатами, установленными на компьютере (это могут быть сертификаты от CA или мой собственный тестовый сертификат).

Я уже попробовал это решение (и многие другие): Как настроить Windows так, чтобы он не запускал измененные двоичные файлы?

но ни один из них не решил мою проблему.

Я написал два приложения "HelloWorld" (с подписью сертификата и без подписи сертификата). Но все решения, которые я пробовал, позволяют запускать оба приложения.

Как настроить Windows10 на выполнение только .exe с подписью сертификата?

Есть конфигурация AppLocker:

<AppLockerPolicy Version="1">
  <RuleCollection Type="Appx" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Dll" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Exe" EnforcementMode="Enabled">
    <FilePathRule Id="921cc481-6e17-4653-8f75-050b80acca20" Name="(Default Rule) All files located in the Program Files folder" Description="Allows members of the Everyone group to run applications that are located in the Program Files folder." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%PROGRAMFILES%\*" />
      </Conditions>
    </FilePathRule>
    <FilePathRule Id="a61c8b2c-a319-4cd0-9690-d2177cad7b51" Name="(Default Rule) All files located in the Windows folder" Description="Allows members of the Everyone group to run applications that are located in the Windows folder." UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="%WINDIR%\*" />
      </Conditions>
    </FilePathRule>
    <FilePublisherRule Id="d5c14ef6-5a5e-4863-aa49-a9ebbcab1afc" Name="Only run executables that are signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
          <BinaryVersionRange LowSection="*" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>
  </RuleCollection>
  <RuleCollection Type="Msi" EnforcementMode="NotConfigured" />
  <RuleCollection Type="Script" EnforcementMode="NotConfigured" />
</AppLockerPolicy>

Связанный контент