Riferimenti
Firma dei programmi
È possibile utilizzare IEAK per contrassegnare con una firma digitale i propri . Le indicano la provenienza del programma e verificano che i programmi non siano stati alterati. Se i pacchetti browser e i programmi personalizzati sono contrassegnati dalla firma dell'utente, durante l'installazione del browser personalizzato non si riceveranno messaggi di avviso.
Per firmare i file è necessario, tuttavia, ottenere un . La posizione del certificato può essere determinata durante l'esecuzione del programma di personalizzazione di Internet Explorer che firmerà i file al momento della creazione del pacchetto. Per informazioni su come ottenere un certificato digitale, vedere "Come ottenere i certificati digitali".
Se si intende distribuire i pacchetti personalizzati via Internet, è necessario che IEAK firmi i file cab personalizzati che crea. Se si intende distribuire i pacchetti personalizzati tramite una rete intranet, è necessario firmare i file personalizzati o configurare l'area della intranet locale con un livello di protezione basso. Le impostazioni di protezione predefinite non consentono di scaricare programmi o codici non firmati. Per ulteriori informazioni sulle aree di protezione, vedere Protezione in Internet Explorer.
Verranno firmati i seguenti file personalizzati:
| Nome file |
Funzione del file |
| Branding.cab |
Dati di marcatura dell'Installazione di Windows Update |
| Desktop.cab |
Aggiornamento desktop di Windows |
| Iecif.cab |
Identifica i componenti di Microsoft Internet installati come parti dell'Installazione di Windows Update |
| IE5setup.exe |
Installazione di Windows Update |
| Mmssetup.exe |
Installazione del client di MSN Messenger Service |
| MMSsetup.cab |
Dati di marcatura del client di MSN Messenger Service |
| Custom<n>.cab |
installati dopo il riavvio del sistema. Ogni componente è contenuto in un file cab distinto e numerato. |
Per un diagramma relativo alle modalità di creazione dei file del programma di personalizzazione di Internet Explorer, vedere Creazione di pacchetti personalizzati in IEAK.
Note
- È possibile evitare l'installazione dei controlli ActiveX e dei pacchetti Java non firmati.
- È inoltre necessario firmare i programmi personalizzati in formato exe o cab che si intendono includere nel pacchetto browser.
- Se si desidera che la propria organizzazione utilizzi l'Installazione su richiesta tramite Internet, è necessario firmare i file cab e specificare nelle impostazioni di protezione che il server che contiene i file cab è affidabile o, nel caso di un sito intranet, impostare un livello di protezione basso. Per ulteriori informazioni, vedere Gestione dell'installazione su richiesta.
Se il livello di protezione della intranet è impostato su un livello medio o su un valore maggiore, è necessario specificare che i server di rete sono affidabili. A tal fine, eseguire una delle seguenti operazioni:
- Nella pagina Impostazioni di protezione della procedura guidata, fare clic su Importa impostazioni aree di protezione correnti, quindi scegliere Modifica impostazioni.
- Selezionare Area intranet locale, quindi fare clic su Siti.
- Deselezionare la casella di controllo Includi tutti i percorsi di rete (UNC), quindi fare clic su OK.
- Selezionare l'area Siti affidabili, fare clic su Siti e digitare il percorso del server, quindi fare clic su Aggiungi.
- Ripetere il passaggio precedente per specificare come affidabili altri server di download.
Per ulteriori informazioni, vedere:
I certificati digitali fanno parte della tecnologia che consente di identificare la provenienza dei programmi e di verificare che non vi siano state apportate modifiche. È possibile ottenere i certificati da un' o da un server di certificazione controllato privatamente. I certificati possono essere commerciali o individuali.
Per ulteriori informazioni sulla tecnologia Authenticode e sulla protezione, visitare il sito Web Microsoft Security Advisor all'indirizzo http://www.microsoft.com/security/.
Dopo aver ottenuto il certificato, è necessario firmare il codice. Gli strumenti per firmare il codice sono disponibili al sito Web Microsoft Site Builder Network Workshop.
È inoltre necessario conoscere le chiavi pubbliche e private, ovvero un set di chiavi corrispondenti create dall'autore del software e utilizzate per le operazioni di e decrittografia. Le chiavi vengono create nel momento in cui il certificato viene richiesto all'autorità di certificazione (CA). Vengono create sul computer e la chiave privata non viene mai inviata né alla CA né ad altre autorità.
La scadenza dei certificati costituisce un'ulteriore misura di protezione. Se, ad esempio, un'università richiede la certificazione di tutti gli studenti iscritti mediante un ID digitale, sarà possibile impostare la scadenza di ciascun ID in concomitanza con il termine del corso di studi. Un codice firmato utilizzando un certificato scaduto non è considerato valido. Una volta scaduto il certificato, l'autore del software dovrà apporre una nuova firma e pubblicare nuove versioni del programma creato.
Per firmare il codice, gli autori del software possono utilizzare un indicatore dell'ora in modo da poter provare la validità del certificato al momento dell'apposizione della firma. In tal modo il codice firmato continua ad essere valido anche dopo la scadenza del certificato.
Un amministratore di reti intranet può preconfigurare le e le restrizioni di accesso, oltre a personalizzare le autorità di certificazione. Gli amministratori possono inoltre impostare dei per controllare se gli utenti possono modificare o meno le impostazioni di protezione. Per ulteriori informazioni sulle aree di protezione, vedere Opzioni di protezione di Internet Explorer.
È possibile stabilire che vengano visualizzati messaggi di avviso quando si tenta di accedere a contenuti potenzialmente dannosi. È inoltre possibile impedire che gli utenti effettuino il download di controlli ActiveX e di pacchetti Java privi di firma digitale.
Il processo di apposizione della firma del codice è semplice e rapido Per firmare un codice, non è necessario conoscere i dettagli tecnici di questa operazione.
Dopo aver sviluppato e verificato un codice, l'autore appone la propria firma digitale. Viene utilizzato un apposito programma, ad esempio Signcode.exe, per attribuire un hash al codice, producendo così una codifica del file. Tramite il livello del sistema operativo, il programma esegue la codifica con la chiave privata e combina tale codifica con il nome dell'algoritmo hash e del certificato della CA, contenente il nome dell'autore, la chiave pubblica e così via, in una struttura definita blocco di identificazione. Il programma incorpora quindi tale blocco nel file del codice. A questo punto il file è pronto per la distribuzione su Internet. Tenere presente che anche il file cab al quale è stata apposta una firma digitale contiene un blocco di identificazione.
Quando il file viene scaricato da Internet, l'applicazione che effettua il download avvia una funzione di verifica, in base alla quale il sistema operativo estrae il blocco di identificazione, determina la CA che ha convalidato il certificato e utilizza la chiave pubblica per decodificare il codice. Il sistema usa quindi l'algoritmo hash indicato nel blocco di identificazione per creare una seconda codifica. Se il programma non ha subito modifiche dal momento dell'apposizione della firma, il nuovo codice corrisponderà a quello precedente. Se i due codici non corrispondono significa che è stato modificato il programma oppure che le chiavi pubblica e privata non appartengono alla stessa coppia. In entrambi i casi il codice è divenuto sospetto e quindi vengono visualizzati i messaggi di avviso.
