可信供应商
在此部分:
关于可信供应商
在每个规则节点中均可指定 Application Control“可信供应商”。“可信供应商”用于列出有效的数字证书。数字证书是使用数字签名将公钥与身份绑定在一起的电子文档。这包括诸如个人或组织的名称、地址等信息。数字证书由证书颁发机构颁发,用于验证公钥是否属于个人。Application Control查询每次文件执行以检测数字证书是否存在。如果文件具有有效的数字证书,并且签名者与“可信供应商”列表中的条目匹配,则允许运行该文件,且替代任何“受信任的所有权”检查。
您可以通过显示“属性”对话框来检查文件是否具有数字证书。若存在“数字签名”选项卡,则表明文件具有数字证书,您可以在选项卡中查看证书的详细信息,包括签名者信息、高级设置和显示证书的选项。
“可信供应商”子节点在每个规则节点上都可用,可列出有效的数字证书。
将证书添加到可信供应商
- 选择要添加证书的可信供应商节点。
- 单击“规则项目”功能区上的添加下拉箭头,然后选择所需选项:
- 来自签名文件 - 选择已由您信任的供应商签名的已知文件。Application Control 然后可以通过识别供应商的特定签名来识别该供应商的其他代码。
- 导入基于文件的存储 - 从 P7B 文件中添加证书,该 P7B 文件在基于文件的存储(如证书管理器)中创建。
-
导航到所需文件,然后单击打开。
“验证证书”对话框中列出了所有已添加的证书。“状态”列显示证书是否已成功验证或是否检测到任何错误。
对于列出的证书还可以选择其他选项。突出显示所需证书,然后选择以下选项之一:
-
验证选项 - 检查证书的状态,强制执行证书的过期日期并应用高级证书选项。
有关详细信息,请参阅验证选项。
- 查看证书 - 查看有关所选证书的详细信息。
- 删除 - 删除所选证书,防止将其添加到“可信供应商”。使用 Shift + Ctrl 键可以选择和删除多个证书。
-
- 单击确定。
列出的证书列表将添加到“可信供应商”工作区。
验证选项
使用验证“可信供应商”的选项,可通过忽略或允许特定属性来指定用于验证证书的参数。证书必须对适用的规则有效,但配置证书可以使用不同级别的验证。
单击验证选项,可在添加文件元数据时使用高级选项。
使用“高级证书选项”更改设置可能会降低验证证书所需的安全级别。
“验证选项”对话框将显示证书的当前状态,并允许访问“过期日期”和“高级证书”选项。可对以下数据使用验证选项:
- 可信供应商的证书
- 允许或禁用的文件和文件夹的元数据
添加证书时,Application Control 需检查证书是否有效,检查结果将显示在“当前验证状态”消息框中。每次此对话框的选项更新时,都会执行该检查。例如,由于存在不可信根证书,证书无效。如果随后选择了允许不可信根选项,Application Control 则将再次检查证书,并更新状态以显示证书验证成功。
您还可以选择是否强制执行证书过期日期。默认设置是 Application Control 忽略证书过期日期,所以证书将永久有效。如果您选择强制执行过期日期,则证书将在过期日期之后变为未验证状态且供应商不再受信任。
高级证书选项
通过高级证书选项可忽略或允许特定属性来指定验证证书的参数。证书必须对适用的规则有效,但配置证书可以使用不同级别的验证。
使用“高级证书选项”更改设置可能会降低验证证书所需的安全级别并带来安全风险。
确定证书验证时,应用以下设置:
- 忽略 CTL 撤销错误 - 获取“证书信任列表”(CTL) 撤销时忽略错误。
- 忽略 CA 撤销错误 - 获取“证书颁发机构”(CA) 撤销时忽略错误。
- 忽略结束证书撤销错误 - 获取结束证书或用户证书、撤销未知时忽略错误。
- 忽略根撤销错误 - 获取有效根撤销时忽略错误。
- 忽略 CTL 无时效错误 - 忽略证书信任列表无效,例如证书可能已过期。
-
忽略时间嵌套错误 - 忽略“证书颁发机构”(CA) 证书和颁发的证书有效期未嵌套。
CA 证书有效期可能是 1 月 1 日至 12 月 1 日,颁发的证书则可能是 1 月 2 日至 12 月 2 日。这意味着有效期未嵌套。
- 忽略基本约束错误 - 忽略基本约束无效。
- 忽略名称无效错误 - 忽略证书名称无效。
- 忽略策略无效错误 - 忽略证书策略无效。
- 忽略用法无效错误 - 忽略证书未颁发为按照当前方式使用。
- 允许不受信任的根 -忽略由于未知的证书颁发机构而无法验证根。