Trovo difficile credere che la maggior parte dei file di sistema di Windows non siano firmati. Non so se la mia incredulità derivi dall'ingenuità, o dal fatto che Windows sia usato in ambienti sicuri in tutto il mondo e quindi ci si aspetterebbe un certo livello di attenzione. (La firma dei file mostra attenzione? Probabilmente no.)
Ma immagino che questa mancanza di firma sia la ragione per cui lo stato di revoca dei binari firmati di runtime non è controllato. Quindi, si potrebbe avere un binario firmato che è stato specificamente revocato per qualsiasi motivo, e Windows non si cura e lo lascerà correre. Ho cercato di migliorare questa funzionalità utilizzando AppLocker.
Dal sito Web, stato Microsoft ( link ):
However, if a certificate was allowed and then revoked, there is a 24-hour period before the revocation takes effect.
Se questa affermazione fa riferimento a "consentire" e quindi "disabilitare" un'app utilizzando le regole del certificato AppLocker o lo stato di revoca effettivo del file binario di AppLocker, non sono sicuro, ma certamente non riesco a farlo funzionare.
Questo commento mi porta alla domanda: non dovrebbero essere firmati tutti i file del sistema vitale e controllati i loro CRL prima dell'esecuzione (insieme ai file binari delle app aziendali specificati)? Esistono prodotti software che applicheranno questo tipo di politiche?