Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica el concepto de modelos de confianza, los modelos de confianza principales que proporciona la firma de artefactos y cómo usarlos en una amplia variedad de escenarios de firma que admite la firma de artefactos.
Modelos de confianza
Un modelo de confianza define las reglas y mecanismos para validar firmas digitales y garantizar la seguridad de las comunicaciones en un entorno digital. Los modelos de confianza definen cómo se establece y mantiene la confianza dentro de las entidades de un ecosistema digital.
Para los consumidores de firmas, como la firma de código de confianza pública para aplicaciones de Microsoft Windows, los modelos de confianza dependen de firmas que tengan certificados de una entidad de certificación (CA) que forme parte del Programa de certificados raíz de Microsoft. Por este motivo, los modelos de confianza de firma de artefactos están diseñados principalmente para admitir características de firma y seguridad Authenticode de Windows que usan la firma de código en Windows (por ejemplo, Control inteligente de aplicaciones y Control de aplicaciones de Windows Defender).
La firma de artefactos proporciona dos modelos de confianza principales para admitir una amplia variedad de consumo de firmas (validaciones):
Nota:
No está limitado a aplicar los modelos de confianza que se utilizan en los escenarios de firma descritos en este artículo. La firma de artefactos se diseñó para admitir la firma de código de Windows y Authenticode, así como el control de aplicaciones para las funciones de Windows. Admite ampliamente otros modelos de firma y confianza más allá de Windows.
Modelo de confianza pública
La confianza pública es uno de los dos modelos de confianza que se proporcionan en la Firma de Artefactos y es el modelo más comúnmente utilizado. Los certificados en el modelo de Confianza Pública se emiten desde la entidad de certificación raíz de verificación de identidad de Microsoft 2020 y cumplen con la declaración de prácticas de certificación de terceros (CPS) de los servicios PKI de Microsoft. Esta entidad de certificación raíz se incluye en el programa de certificados raíz de un usuario de confianza, como el Programa de certificados raíz de Microsoft para la firma de código y la marca de tiempo.
Los recursos de confianza pública en la firma de artefactos están diseñados para admitir los siguientes escenarios de firma y características de seguridad:
- Firma de código de aplicación Win32
- Control de aplicaciones inteligentes en Windows 11
- /INTEGRITYCHECK fuerza la firma de integridad para binarios ejecutables portables (PE)
- Enclaves de seguridad basados en virtualización (VBS)
Se recomienda usar la confianza pública para firmar cualquier artefacto que quiera compartir públicamente. El firmante debe ser una identidad validada mediante el proceso de firma de artefactos. Las aplicaciones firmadas con el modelo de confianza pública de Artifact Signing dan lugar a que los usuarios disfruten de una experiencia productiva en Windows con características modernas de protección de seguridad habilitadas, como Smart App Control y SmartScreen.
Nota:
La firma de artefactos incluye opciones para perfiles de certificado de "prueba" en la colección de confianza pública, pero los certificados no son de confianza pública. Los perfiles de certificado de prueba de confianza pública están diseñados para usarse para la firma de desarrollo/pruebas de bucle interno y no se debe confiar en ellos.
Modelo de confianza privada
La confianza privada es el segundo modelo de confianza que se proporciona en Artifact Signing. Es para confianza alternativa cuando las firmas no sean de confianza general en todo el ecosistema. La jerarquía de CA utilizada para los recursos de firma de artefactos de confianza privada no es de confianza por defecto en ningún programa raíz ni en Windows. En su lugar, está diseñado para usarse en las características de Control de aplicaciones para empresas (anteriormente Control de aplicaciones de Windows Defender, WDAC), entre las que se incluyen:
- Uso de la firma de código para un control y protección agregados con WDAC
- Usar directivas firmadas para proteger el control de aplicaciones de Windows Defender contra alteraciones
- Opcional: Crear un certificado de firma de código para el control de aplicaciones de Windows Defender
Para obtener más información sobre cómo configurar y firmar directivas WDAC utilizando una guía de firma de artefactos, consulte Inicio rápido de firma de artefactos.