Implementar ficheiros de catálogo para suportar o Controlo de Aplicações para Empresas

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

Os ficheiros de catálogo podem ser importantes na implementação do Controlo de Aplicações para Empresas se tiver aplicações de linha de negócio (LOB) não assinadas para as quais o processo de assinatura é difícil. Também pode utilizar ficheiros de catálogo para adicionar a sua própria assinatura a aplicações que obtém de fornecedores de software independentes (ISV) quando não pretende confiar em todo o código assinado por esse ISV. Desta forma, os ficheiros de catálogo fornecem uma forma conveniente de "abençoar" aplicações para utilização no seu ambiente gerido pelo Controlo de Aplicações. Além disso, pode criar ficheiros de catálogo para aplicações existentes sem precisar de acesso ao código fonte original ou precisar de reembalagem dispendiosa.

Tem de obter um certificado de assinatura de código para sua própria utilização e utilizá-lo para assinar o ficheiro de catálogo. Em seguida, distribua o ficheiro de catálogo assinado com o mecanismo de implementação de conteúdos preferencial.

Por fim, adicione uma regra de signatário à política de Controlo de Aplicações para o certificado de assinatura. Em seguida, todas as aplicações abrangidas pelos seus ficheiros de catálogo assinados podem ser executadas, mesmo que as aplicações tenham sido anteriormente não assinadas. Com esta base, pode criar mais facilmente uma política de Controlo de Aplicações que bloqueia todo o código não assinado, porque a maioria do software maligno não está assinado.

Criar ficheiros de catálogo com o Inspetor de Pacotes

Para criar um ficheiro de catálogo para uma aplicação existente, pode utilizar uma ferramenta denominada Inspetor de Pacotes fornecida com o Windows.

1. Aplique uma política no modo de auditoria ao computador onde executa o Inspetor de Pacotes. O Inspetor de Pacotes utiliza eventos de auditoria para incluir hashes no ficheiro de catálogo para quaisquer ficheiros de instalação temporária que sejam adicionados e, em seguida, removidos do computador durante o processo de instalação. A política do modo de auditoria não deve permitir os binários da aplicação ou poderá perder alguns ficheiros críticos que são necessários no ficheiro de catálogo.

   Observação

   Não poderá concluir este processo se for feito num sistema com uma política imposta, a menos que a política imposta já permita que a aplicação seja executada.

   Pode utilizar este exemplo do PowerShell para fazer uma cópia do modelo de DefaultWindows_Audit.xml:

   Copy-Item -Path $env:windir\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml -Destination $env:USERPROFILE\Desktop\
   $PolicyId = Set-CIPolicyIdInfo -FilePath $env:USERPROFILE\Desktop\DefaultWindows_Audit.xml -PolicyName "Package Inspector Audit Policy" -ResetPolicyID
   $PolicyBinary = $env:USERPROFILE+"\Desktop\"+$PolicyId.substring(11)+".cip"
   

   Em seguida, aplique a política conforme descrito em Implementar políticas de Controlo de Aplicações para Empresas com script.

2. Inicie o Inspetor de Pacotes para monitorizar a criação de ficheiros numa unidade local onde instale a aplicação, por exemplo, a unidade C:

   PackageInspector.exe Start C:
   

   Importante

   Todos os ficheiros escritos na unidade que está a ver com o Inspetor de Pacotes serão incluídos no catálogo que é criado. Tenha em atenção quaisquer outros processos que possam estar a ser executados e a criar ficheiros na unidade.

3. Copie o suporte de dados de instalação para a unidade que está a ver com o Inspetor de Pacotes, para que o instalador real esteja incluído no ficheiro de catálogo final. Se ignorar este passo, poderá permitir que a aplicação seja executada, mas não conseguir instalá-la.

4. Instale a aplicação.

5. Inicie a aplicação para garantir que os ficheiros criados na iniciação inicial estão incluídos no ficheiro de catálogo.

6. Utilize a aplicação como faria normalmente, para que os ficheiros criados durante a utilização normal sejam incluídos no ficheiro de catálogo. Por exemplo, algumas aplicações podem transferir mais ficheiros na primeira utilização de uma funcionalidade na aplicação. Certifique-se de que também marcar para atualizações de aplicações se a aplicação tiver essa capacidade.

7. Feche e reabra a aplicação para garantir que a análise capturou todos os binários.

8. Conforme adequado, com o Inspetor de Pacotes ainda em execução, repita os passos anteriores para quaisquer outras aplicações que pretenda incluir no catálogo.

9. Quando tiver confirmado que os passos anteriores estão concluídos, utilize os seguintes comandos para parar o Inspetor de Pacotes. Cria um ficheiro de catálogo e um ficheiro de definição de catálogo na localização especificada. Utilize uma convenção de nomenclatura para os seus ficheiros de catálogo para facilitar a gestão dos seus ficheiros de catálogo implementados ao longo do tempo. Os nomes de ficheiro utilizados neste exemplo são LOBApp-Contoso.cat (ficheiro de catálogo) e LOBApp.cdf (ficheiro de definição).

   Para o último comando, que para o Inspetor de Pacotes, certifique-se de que especifica a mesma unidade local que tem estado a observar com o Inspetor de Pacotes, por exemplo, C:.

   $ExamplePath=$env:userprofile+"\Desktop"
   $CatFileName=$ExamplePath+"\LOBApp-Contoso.cat"
   $CatDefName=$ExamplePath+"\LOBApp.cdf"
   PackageInspector.exe Stop C: -Name $CatFileName -cdfpath $CatDefName
   

Observação

O Inspetor de Pacotes cataloga os valores hash para cada ficheiro detetado. Se as aplicações que foram analisadas forem atualizadas, conclua este processo novamente para confiar nos valores hash dos novos binários.

Quando terminar, a ferramenta guarda os ficheiros no ambiente de trabalho. Pode ver o *.cdf ficheiro com um editor de texto e ver os ficheiros incluídos no Inspetor de Pacotes. Também pode fazer duplo clique no ficheiro para ver os *.cat respetivos conteúdos e marcar para um hash de ficheiro específico.

Assinar o ficheiro de catálogo

Agora que criou um ficheiro de catálogo para a sua aplicação, está pronto para o assinar. Recomendamos que utilize o serviço Assinatura Confiável da Microsoft para assinatura de catálogo. Opcionalmente, pode assinar manualmente o catálogo com a Signtool com as seguintes instruções.

Assinatura do catálogo com SignTool.exe

Se comprou um certificado de assinatura de código ou emitiu um na sua própria infraestrutura de chaves públicas (PKI), pode utilizar SignTool.exe para assinar os seus ficheiros de catálogo.

Precisas:

• SignTool.exe, encontrado no windows software development kit (SDK).
• O ficheiro de catálogo que criou anteriormente.
• Um certificado de assinatura de código emitido por uma autoridade de certificação interna (AC) ou um certificado de assinatura de código comprado.

Para o certificado de assinatura de código que utiliza para assinar o ficheiro de catálogo, importe-o para o arquivo pessoal do utilizador de assinatura. Em seguida, assine o ficheiro de catálogo existente ao copiar cada um dos seguintes comandos para uma sessão de Windows PowerShell elevada.

1. Inicialize as variáveis a utilizar. Substitua as $ExamplePath variáveis e $CatFileName conforme necessário:

   $ExamplePath=$env:userprofile+"\Desktop"
   $CatFileName=$ExamplePath+"\LOBApp-Contoso.cat"
   

2. Assine o arquivo de catálogo usando Signtool.exe:

   <path to signtool.exe> sign /n "ContosoSigningCert" /fd sha256 /v $CatFileName
   

   Observação

   A <Path to signtool.exe> variável deve ser o caminho completo para o utilitário Signtool.exe. ContosoSigningCert representa o nome do requerente do certificado que utiliza para assinar o ficheiro de catálogo. Esse certificado deve ser importado para o repositório de certificados pessoais no computador no qual você está tentando assinar o arquivo de catálogo.

   Para obter mais informações sobre Signtool.exe e todos os comutadores adicionais, consulte Ferramenta de Sinal.

3. Verifique a assinatura digital do ficheiro de catálogo. Clique com o botão direito do rato no ficheiro de catálogo e, em seguida, selecione Propriedades. Na guia Assinaturas Digitais, verifique se o certificado de assinatura existe usando um algoritmo sha256, conforme mostrado na Figura 1.

   

   Figura 1. Verifique se o certificado de assinatura existe.

Implementar o ficheiro de catálogo nos pontos finais geridos

Os ficheiros de catálogo no Windows são armazenados %windir%\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}em .

Para fins de teste, pode copiar manualmente ficheiros de catálogo assinados para esta pasta. Para a implementação em larga escala de ficheiros de catálogo assinados, utilize as preferências de ficheiro de política de grupo ou um produto de gestão de sistemas empresariais, como Microsoft Configuration Manager.

Implementar ficheiros de catálogo com a política de grupo

Para simplificar a gestão de ficheiros de catálogo, pode utilizar as preferências de política de grupo para implementar ficheiros de catálogo nos computadores adequados na sua organização.

O processo seguinte orienta-o ao longo da implementação de um ficheiro de catálogo assinado chamado LOBApp-Contoso.cat para uma UO de teste denominada PCs Com Controlo de Aplicações ativado com um GPO denominado Teste GPO de Ficheiros do Catálogo Contoso.

1. A partir de um controlador de domínio ou de um computador cliente que tenha as Ferramentas de Administração Remota do Servidor instaladas, abra a Consola de Gestão do Política de Grupo ao executar GPMC.MSC ou ao procurar Política de Grupo Management.

2. Crie um novo GPO: clique com o botão direito do rato numa UO, por exemplo, a UO de PCs Ativados pelo Controlo de Aplicações e, em seguida, selecione Criar um GPO neste domínio e Associá-lo aqui, conforme mostrado na Figura 2.

   Observação

   Pode utilizar qualquer nome de UO. Além disso, a filtragem de grupos de segurança é uma opção quando considera diferentes formas de combinar políticas de Controlo de Aplicações.

   

   Figura 2. Crie um novo GPO.

3. Dê um nome ao novo GPO, por exemplo, Teste GPO de Ficheiro do Catálogo Contoso ou qualquer nome que prefira.

4. Abra o Editor gestão de Política de Grupo: clique com o botão direito do rato no novo GPO e, em seguida, selecione Editar.

5. No GPO selecionado, navegue para Configuração do Computador\Preferências\Definições do Windows\Ficheiros. Clique com o botão direito do rato em Ficheiros, aponte para Novo e, em seguida, selecione Ficheiro, conforme mostrado na Figura 3.

   

   Figura 3. Crie um novo ficheiro.

6. Configure o compartilhamento de arquivos de catálogo.

   Para usar essa configuração a fim de oferecer uma implantação consistente de seu arquivo de catálogo (neste exemplo, LOBApp-Contoso.cat), o arquivo de origem deve estar em um compartilhamento que seja acessível para a conta de computador de todos os computadores implantados. Este exemplo utiliza uma partilha num computador com Windows 10 denominado \\Contoso-Win10\Share. O arquivo de catálogo que está sendo implantado é copiado nesse compartilhamento.

7. Para manter as versões consistentes, na caixa de diálogo Novas Propriedades do Ficheiro , conforme mostrado na Figura 4, selecione Substituir na lista Ação para que a versão mais recente seja sempre utilizada.

   

   Figura 4. Defina as novas propriedades do ficheiro.

8. Na caixa Ficheiro(s) de origem, escreva o nome da partilha acessível, com o nome do ficheiro de catálogo incluído. Por exemplo, \\Contoso-Win10\share\LOBApp-Contoso.cat.

9. Na caixa Arquivo de Destino, digite um nome de arquivo e caminho, por exemplo:

   C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\LOBApp-Contoso.cat

   Para o nome do ficheiro de catálogo, utilize o nome do catálogo que está a implementar.

10. Na guia Comum da caixa de diálogo Novas Propriedades de Arquivo, selecione a opção Remover este item quando ele não for mais aplicado. Ativar esta opção garante que o ficheiro de catálogo é removido de todos os sistemas, caso precise de deixar de confiar nesta aplicação.

11. Selecione OK para concluir a criação de ficheiros.

12. Feche o Editor de Gestão de Política de Grupo e, em seguida, atualize a política no computador de teste que executa Windows 10 ou Windows 11, executando GPUpdate.exe. Quando a política tiver sido atualizada, verifique se o ficheiro de catálogo existe no C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} computador em execução Windows 10.

Implementar ficheiros de catálogo com Microsoft Configuration Manager

Como alternativa à política de grupo, pode utilizar Configuration Manager para implementar ficheiros de catálogo nos computadores geridos no seu ambiente. Esta abordagem pode simplificar a implementação e a gestão de vários ficheiros de catálogo e fornecer relatórios sobre o catálogo que cada cliente ou coleção implementou. Além da implementação destes ficheiros, Configuration Manager também podem ser utilizados para inventariar os ficheiros de catálogo atualmente implementados para fins de relatórios e conformidade.

Conclua as seguintes etapas para criar um novo pacote de implantação para arquivos de catálogo:

Observação

O exemplo seguinte utiliza uma partilha de rede denominada \\Shares\CatalogShare origem para os ficheiros de catálogo. Se tiver ficheiros de catálogo específicos de coleções ou preferir implementá-los individualmente, utilize a estrutura de pastas que funcionar melhor para a sua organização.

1. Abra o console do Configuration Manager e selecione o espaço de trabalho da Biblioteca de Software.

2. Navegue para Descrição Geral\Gestão de Aplicações, clique com o botão direito do rato em Pacotes e, em seguida, selecione Criar Pacote.

3. Nomeie o pacote, defina a organização como o fabricante e selecione um número de versão apropriado.

   

   Figura 5. Especifique informações sobre o novo pacote.

4. Selecione Seguinte e, em seguida, selecione Standard programa como o tipo de programa.

5. Na página programa Standard, selecione um nome e, em seguida, defina a propriedade Linha de Comandos para o seguinte comando:

   XCopy \\Shares\CatalogShare C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} /H /K /E /Y
   

6. Na página programa Standard, selecione as seguintes opções, conforme mostrado na Figura 6:

   • Em Nome, digite um nome, como Contoso Catalog File Copy Program.
   • Em Linha de comando, navegue até o local do programa.
   • Na pasta Arranque, escreva C:\Windows\System32.
   • Na lista Executar, selecione Oculto.
   • Na lista O programa pode ser executado, selecione Se um usuário tiver ou não efetuado logon.
   • Na lista Modo de unidade, selecione Executa com nome UNC.

   

   Figura 6. Especifique informações sobre o programa padrão.

7. Aceite os padrões para o restante do assistente e feche o assistente.

Depois de criar o pacote de implantação, implante-o em uma coleção de maneira que os clientes recebam os arquivos de catálogo. Neste exemplo, vai implementar o pacote que criou numa coleção de teste:

1. Na área de trabalho Biblioteca de Software, navegue para Descrição Geral\Gestão de Aplicações\Pacotes, clique com o botão direito do rato no pacote de ficheiros do catálogo e, em seguida, selecione Implementar.

2. Na página Geral , selecione a coleção de testes e, em seguida, selecione Seguinte.

3. Na página Conteúdo , selecione Adicionar para selecionar o ponto de distribuição para apresentar conteúdo à coleção selecionada e, em seguida, selecione Seguinte.

4. Na página Configurações da Implantação , selecione Obrigatório na caixa Finalidade .

5. Na página Agendamento , selecione Novo.

6. Na caixa de diálogo Agenda de Atribuição , selecione Atribuir imediatamente após este evento, defina o valor como O mais rápido possível e, em seguida, selecione OK.

7. Na página Agendamento , selecione Seguinte.

8. Na página Experiência de Utilizador , conforme mostrado na Figura 7, defina as seguintes opções e, em seguida, selecione Seguinte:

   • Marque a caixa de seleção Instalação de software.

   • Marque a caixa de seleção Confirmar as alterações no prazo ou durante uma janela de manutenção (requer reinicializações).

   

   Figura 7. Especifique a experiência de utilizador.

9. Na página Pontos de Distribuição , na caixa Opções de implementação , selecione Executar programa a partir do ponto de distribuição e, em seguida, selecione Seguinte.

10. Na página Resumo , reveja as seleções e, em seguida, selecione Seguinte.

11. Feche o assistente.

Ficheiros de catálogo de inventário com Microsoft Configuration Manager

Quando os ficheiros de catálogo tiverem sido implementados nos computadores no seu ambiente, seja através da utilização da política de grupo ou Configuration Manager, pode inventariá-los com a funcionalidade de inventário de software do Configuration Manager.

Pode configurar o inventário de software para localizar ficheiros de catálogo nos seus sistemas geridos ao criar e implementar uma nova política de definições de cliente.

Observação

Uma convenção de nomenclatura padrão para os seus ficheiros de catálogo simplificará significativamente o processo de inventário de software de ficheiros de catálogo. Neste exemplo, -Contoso foi adicionado a todos os nomes de arquivo de catálogo.

1. Abra o console do Configuration Manager e selecione o espaço de trabalho Administração.

2. Navegue para Descrição Geral\Definições do Cliente, clique com o botão direito do rato em Definições do Cliente e, em seguida, selecione Criar Definições Personalizadas do Dispositivo Cliente.

3. Nomeie a nova política e em Selecionar e configurar as configurações personalizadas para dispositivos cliente, marque a caixa de seleção Inventário de Software, conforme mostrado na Figura 8.

   

   Figura 8. Selecione definições personalizadas.

4. No painel de navegação, selecione Inventário de Software e, em seguida, selecione Definir Tipos, conforme mostrado na Figura 9.

   

   Figura 9. Defina o inventário de software.

5. Na caixa de diálogo Configurar Definição do Cliente, selecione o botão Iniciar para abrir a caixa de diálogo Propriedades do Ficheiro de Inventários .

6. Na caixa Nome , escreva um nome como *Contoso.cate, em seguida, selecione Definir.

   Observação

   Ao escrever o nome, siga a sua convenção de nomenclatura para ficheiros de catálogo.

7. Na caixa de diálogo Propriedades do Caminho , selecione Variável ou nome do caminho e, em seguida C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} , escreva na caixa, conforme mostrado na Figura 10.

   

   Figura 10. Defina as propriedades do caminho.

8. Clique em OK.

9. Agora que criou a política de definições de cliente, clique com o botão direito do rato na nova política, selecione Implementar e, em seguida, selecione a coleção na qual pretende inventariar os ficheiros do catálogo.

No momento do próximo ciclo de inventário de software, quando os clientes visados receberem a nova política de definições de cliente, poderá ver os ficheiros inventariados nos relatórios de Configuration Manager incorporados ou Explorer de Recursos. Para exibir os arquivos inventariados em um cliente dentro do Gerenciador de Recursos, conclua as seguintes etapas:

1. Abra o console do Gerenciador de Recursos e selecione o espaço de trabalho Ativos e Conformidade.

2. Navegue para Descrição Geral\Dispositivos e procure o dispositivo no qual pretende ver os ficheiros inventariados.

3. Clique com o botão direito do rato no computador, aponte para Iniciar e, em seguida, selecione Explorer de recursos.

4. Em Explorer de Recursos, navegue para Software\Detalhes do Ficheiro para ver os ficheiros do catálogo inventariado.

Observação

Se não for apresentado nada nesta vista, navegue para Software\Última Análise de Software no Explorer de Recursos para verificar se o cliente concluiu recentemente uma análise de inventário de software.

Permitir aplicações assinadas pelo certificado de assinatura do catálogo na política de Controlo de Aplicações

Agora que tem o ficheiro de catálogo assinado, pode adicionar uma regra de signatário à sua política que permita qualquer coisa assinada com esse certificado. Se ainda não criou uma política de Controlo de Aplicações, veja o Guia de conceção do Controlo de Aplicações para Empresas.

Num computador onde o ficheiro de catálogo assinado foi implementado, pode utilizar New-CiPolicyRule para criar uma regra de signatário a partir de qualquer ficheiro incluído nesse catálogo. Em seguida, utilize Merge-CiPolicy para adicionar a regra ao XML da política. Certifique-se de que substitui os valores do caminho no exemplo seguinte:

$Rules = New-CIPolicyRule -DriverFilePath <path to the file covered by the signed catalog> -Level Publisher
Merge-CIPolicy -OutputFilePath <path to your policy XML> -PolicyPaths <path to your policy XML> -Rules $Rules

Em alternativa, pode utilizar Add-SignerRule para adicionar uma regra de signatário à sua política a partir do ficheiro de certificado (.cer). Pode guardar facilmente o ficheiro .cer do ficheiro de catálogo assinado.

1. Clique com o botão direito do rato no ficheiro de catálogo e, em seguida, selecione Propriedades.
2. No separador Assinaturas Digitais , selecione a assinatura na lista e, em seguida, selecione Detalhes.
3. Selecione Ver Certificado para ver as propriedades do certificado de folha.
4. Selecione o separador Detalhes e selecione Copiar para Ficheiro. Esta ação executa o Assistente de Exportação de Certificados.
5. Conclua o assistente com a opção predefinida Exportar Formato de Ficheiro e especifique uma localização e um nome de ficheiro para guardar o ficheiro .cer.

Observação

Estes passos selecionam o nível mais baixo da cadeia de certificados, também denominado certificado "folha". Em vez disso, pode optar por utilizar o certificado de emissor intermédio ou raiz do certificado. Para utilizar um certificado diferente na cadeia, mude para o separador Caminho de Certificação após o passo 3 acima e, em seguida, selecione o nível de certificado que pretende utilizar e selecione Ver Certificado. Em seguida, conclua os restantes passos.

O exemplo seguinte utiliza o ficheiro .cer para adicionar uma regra de signatário aos cenários de assinatura do modo de utilizador e kernel. Certifique-se de que substitui os valores do caminho no exemplo seguinte:

Add-SignerRule -FilePath <path to your policy XML> -CertificatePath <path to your certificate .cer file> -User -Kernel

Problemas conhecidos ao utilizar o Inspetor de Pacotes

Alguns dos problemas conhecidos ao utilizar o Inspetor de Pacotes para criar um ficheiro de catálogo são:

• O tamanho do diário USN é demasiado pequeno para controlar todos os ficheiros criados pelo instalador

  • Para diagnosticar se o tamanho do diário USN é o problema, depois de passar pelo Inspetor de Pacotes:
    • Obtenha o valor da chave de registo em HKEY_CURRENT_USER/PackageInspectorRegistryKey/c: (este USN foi o mais recente quando executou PackageInspector start). Em seguida, utilize fsutil.exe para ler essa localização inicial. Substitua "RegKeyValue" no seguinte comando pelo valor da chave reg:
      fsutil usn readjournal C: startusn=RegKeyValue > inspectedusn.txt
    • O comando acima deverá devolver um erro se os USNs mais antigos já não existirem devido à capacidade excedida
    • Pode expandir o usn Diário tamanho com: fsutil usn createjournal com um novo tamanho e delta de alocação. Fsutil usn queryjournal mostra o tamanho atual e o delta de alocação, pelo que utilizar um múltiplo pode ajudar.

• Integridade do Código – o registo de eventos operacional é demasiado pequeno para controlar todos os ficheiros criados pelo instalador

  • Para diagnosticar se o tamanho do Eventlog é o problema, depois de passar pelo Inspetor de Pacotes:
    • Abra Visualizador de Eventos e expanda a Aplicação e Serviços//Microsoft//Windows//CodeIntegrity//Operational. Verifique se existe um evento de bloco de auditoria 3076 para o início inicial do instalador.
    • Para aumentar o tamanho do Registo de eventos, em Visualizador de Eventos clique com o botão direito do rato no registo operacional, selecione Propriedades e, em seguida, defina novos valores.

• Ficheiros do instalador ou da aplicação que alteram o hash sempre que a aplicação é instalada ou executada

  • Algumas aplicações geram ficheiros no tempo de execução cujo valor hash é sempre diferente. Pode diagnosticar este problema ao rever os valores hash nos eventos de bloco de auditoria 3076 (ou 3077 eventos de imposição) gerados. Se, sempre que tentar executar o ficheiro, observar um novo evento de bloco com um hash diferente, o pacote não funcionará com o Inspetor de Pacotes.

• Ficheiros com um blob de assinatura inválido ou ficheiros "unhashable" de outra forma

  • Este problema surge quando um ficheiro assinado foi modificado de uma forma que invalida o cabeçalho PE do ficheiro. Um ficheiro modificado desta forma não pode ser hash de acordo com a especificação Authenticode.
  • Embora estes ficheiros "desempregáveis" não possam ser incluídos no ficheiro de catálogo criado pelo PackageInspector, deverá conseguir permitir-lhes ao adicionar uma regra hash ALLOW à sua política que utiliza o hash de ficheiro simples do ficheiro.
  • Este problema afeta algumas versões dos pacotes InstallShield que utilizam ficheiros DLL assinados em ações personalizadas. InstallShield adiciona marcadores de controlo ao ficheiro (editando-o após assinatura), o que deixa o ficheiro neste estado "unhashable".