Me cuesta creer que la mayoría de los archivos del sistema de Windows no estén firmados. No sé si mi incredulidad proviene de la ingenuidad o porque Windows se usa en entornos seguros en todo el mundo y, por lo tanto, uno esperaría un cierto nivel de atención. (¿Los archivos de firma muestran cuidado? Probablemente no.)
Pero me imagino que esta falta de firma es la razón por la que el estado de revocación de los binarios de tiempo de ejecución firmados no se verifica. Por lo tanto, uno podría tener un binario firmado que haya sido revocado específicamente por cualquier motivo, y a Windows no le importa y lo dejará funcionar. He intentado mejorar esta funcionalidad utilizando AppLocker.
Desde el sitio web, el estado de Microsoft ( enlace ):
Sin embargo, si un certificado fue permitido y luego revocado, hay un período de 24 horas antes de que la revocación entre en vigencia.
Si esta declaración se refiere a "permitir" y luego "deshabilitar" una aplicación que usa las reglas de certificado de AppLocker, o el estado de revocación real del binario de AppLocker, no estoy seguro pero ciertamente no puedo hacerlo funcionar.
Este comentario me lleva a la pregunta: ¿No deben firmarse todos los archivos vitales del sistema y deben verificarse sus CRL antes de la ejecución (junto con los archivos binarios de las aplicaciones empresariales especificadas)? ¿Hay productos de software que hagan cumplir este tipo de políticas?