Sono interessato a distribuire l'elenco di applicazioni in bianco per un ambiente su larga scala utilizzando il meccanismo integrato di AppLocker di Windows Server. Non c'è connessione a Internet per l'ambiente.
La mia più grande preoccupazione è che la regola del publisher che utilizza la firma digitale del file eseguibile stia controllando solo la firma digitale e non il certificato con il quale il file è stato firmato. Ciò significa che non viene verificata la data di scadenza del certificato né il CRL una volta verificato il file con Applocker. Inoltre mi piacerebbe sapere se esiste una registrazione di un caso in cui un certificato di firma del codice è mai stato rubato da un importante fornitore di terze parti? In questo modo, il ladro può firmare i file come questo fornitore compromesso e bypassare facilmente il controllo della firma digitale.
In questo caso, una verifica del controllo hash potrebbe essere più sicura di un editore? Dipende quindi dal fatto che l'algoritmo di hash utilizzato in AppLocker non è stato rotto? Qual è l'algoritmo di hash utilizzato in AppLocker?