Cisco Cisco NAC Appliance 4.1.0

The following example shows how to use Launch Programs to launch a qualified (signed) program. If 
using a CA authority to sign the program, you can skip the steps related to how to perform your own 
application signing in the example. 

If the user has admin privileges on the client machine, any program that is an executable is qualified. 

If the user does not have admin privileges, the target executable is launched via Agent Stub. The 
executable must have:

A valid digital signature signed by certificates with specific field value(s)

Optionally, file version information with specific item value(s). 

The values for certificate and file version information are also configurable in the registry.

Code or program signing is the process of attaching a digital signature to the program so that it can be 
considered “trustworthy” of launching. When NAC Appliance launches a signed program, the 
“Launcher” will confirm that the signature is from a trusted source (i.e. CA certificate is in trusted store) 
before executing it. Application signing is needed because launching unsigned applications is a security 
risk. Anyone can mask a trojan/worm as the program that you are trying to launch and cause harm. 

Certificate Authorities (CA), such as Thawte and Verisign, offer signing services. 

To sign programs yourself, you need:

CA Server (Public or Private)

Certificate Issued by CA server

Private Key, CA server public key, for above cert 

The .exe, .dll, .scr, .wsh that needs be signed

A signing tool (such as signcode.exe/signtool.exe)

Example references/tools:

Create a New Requirement of type Launch Programs. 

Indicate whether the Requirement is Optional, Mandatory, or Audit. 

Indicate the root location from which to launch the qualified Program:

System_Root = C:\Windows

System_32 = C:\Windows\System32

System_Programs = C:\Program Files