Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono koncepcję modeli zaufania, podstawowe modele zaufania zapewniane przez usługę Artifact Signing oraz sposób ich używania w wielu różnych scenariuszach podpisywania obsługiwanych przez usługę Artifact Signing.
Modele zaufania
Model zaufania definiuje reguły i mechanizmy weryfikacji podpisów cyfrowych oraz zapewnia bezpieczeństwo komunikacji w środowisku cyfrowym. Modele zaufania definiują sposób ustanawiania i utrzymania zaufania w jednostkach w ekosystemie cyfrowym.
W przypadku użytkowników podpisów, takich jak publicznie zaufane podpisywanie kodu dla aplikacji systemu Microsoft Windows, modele zaufania zależą od podpisów, które mają certyfikaty z urzędu certyfikacji ,który jest częścią głównego programu certyfikatów firmy Microsoft. Z tego powodu modele zaufania podpisywania artefaktów są przeznaczone głównie do obsługi funkcji podpisywania i zabezpieczeń Windows Authenticode, które wykorzystują podpisywanie kodu w systemie Windows (na przykład Inteligentna Kontrola Aplikacji i Windows Defender Application Control).
Podpisywanie artefaktów udostępnia dwa podstawowe modele zaufania, które obsługują szeroką gamę użycia podpisów (walidacje):
Uwaga / Notatka
Nie ograniczasz się do stosowania modeli zaufania, które są używane w scenariuszach podpisywania opisanych w tym artykule. Podpisywanie artefaktów zostało zaprojektowane w celu obsługi podpisywania kodu w systemie Windows i technologii Authenticode oraz funkcji Kontroli Aplikacji dla systemu Windows. Ogólnie obsługuje inne modele podpisywania i zaufania poza systemem Windows.
Model zaufania publicznego
Zaufanie publiczne jest jednym z dwóch modeli zaufania, które są udostępniane w podpisywaniu artefaktu i jest najczęściej używanym modelem. Certyfikaty w modelu zaufania publicznego są wystawiane z Microsoft Identity Verification Root Certificate Authority 2020 i są zgodne z Oświadczeniem dotyczącym praktyk certyfikacji stron trzecich (CPS) dla usług Microsoft PKI. Ten główny urząd certyfikacji jest zawarty w głównym programie certyfikatów jednostki uzależnionej, takim jak program certyfikatów głównych firmy Microsoft, na potrzeby podpisywania kodu i sygnatury czasowej.
Zasoby zaufania publicznego w podpisywaniu artefaktu są przeznaczone do obsługi następujących scenariuszy podpisywania i funkcji zabezpieczeń:
- Podpisywanie kodu aplikacji Win32
- Inteligentna kontrola aplikacji w systemie Windows 11
- /INTEGRITYCHECK wymuszone podpisywanie integralności dla przenośnych plików wykonywalnych (PE)
- Enklawy zabezpieczeń opartych na wirtualizacji (VBS)
Zalecamy użycie publicznego zaufania w celu podpisania dowolnego artefaktu, który zamierzasz udostępnić publicznie. Podpisujący powinien być zweryfikowaną tożsamością przy użyciu podpisu artefaktu. Aplikacje podpisane za pomocą modelu publicznego zaufania podpisywania artefaktów sprawiają, że użytkownicy korzystają z produktywnego środowiska w systemie Windows z włączonymi nowoczesnymi funkcjami bezpieczeństwa, takimi jak Smart App Control i SmartScreen.
Uwaga / Notatka
Podpisywanie artefaktów obejmuje opcje profilów certyfikatów "testowych" w kolekcji Publicznego Zaufania, ale certyfikaty te nie są publicznie zaufane. Profile certyfikatów związanych z testem zaufania publicznego są przeznaczone do podpisywania i testowania w wewnętrznych cyklach rozwoju i nie powinny być uważane za godne zaufania.
Model zaufania prywatnego
Zaufanie prywatne to drugi model zaufania udostępniany w funkcji Podpisywanie Artefaktów. W przypadku dobrowolnego zaufania, gdy podpisy nie cieszą się powszechnym zaufaniem w ekosystemie. Hierarchia urzędu certyfikacji używana dla zasobów artifact signing private trust nie jest domyślnie zaufana w żadnym programie głównym i w systemie Windows. Zamiast tego jest ona przeznaczona do używania w funkcji Kontroli aplikacji dla firm (dawniej Windows Defender Application Control, WDAC), w tym:
- Używanie podpisywania kodu w celu zapewnienia dodatkowej kontroli i ochrony za pomocą usługi WDAC
- Używanie podpisanych zasad w celu ochrony kontroli aplikacji usługi Windows Defender przed naruszeniami
- Opcjonalnie: tworzenie certyfikatu podpisywania kodu dla kontrolki aplikacji usługi Windows Defender
Aby uzyskać więcej informacji na temat konfigurowania i podpisywania zasad WDAC przy użyciu dokumentacji dotyczącej podpisywania artefaktów, zobacz przewodnik Szybki start podpisywania artefaktów.