Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica o conceito de modelos de confiança, os principais modelos de confiança que a Assinatura de Artefato fornece e como usá-los em uma ampla variedade de cenários de assinatura compatíveis com a Assinatura de Artefatos.
Modelos de confiança
Um modelo de confiança define as regras e os mecanismos para validar assinaturas digitais e garantir a segurança das comunicações em um ambiente digital. Os modelos de confiança definem como a confiança é estabelecida e mantida dentro de entidades em um ecossistema digital.
Para consumidores que utilizam assinatura, como assinatura de código com confiança pública para aplicativos do Microsoft Windows, os modelos de confiança baseiam-se em assinaturas que tenham certificados de uma AC (Autoridade de Certificação) que faz parte do Programa de Certificado Raiz da Microsoft. Por esse motivo, os modelos de confiança de Assinatura de Artefatos são projetados principalmente para oferecer suporte à assinatura do Windows Authenticode e a recursos de segurança que usam assinatura de código no Windows (por exemplo, Smart App Control e Windows Defender Application Control).
A Assinatura de Artefatos oferece dois modelos de confiança principais para suportar uma variedade de consumo de assinaturas (validações):
Observação
Você não está limitado a aplicar os modelos de confiança que são usados nos cenários de assinatura descritos neste artigo. A Assinatura de Artefatos foi projetada para oferecer suporte aos recursos de assinatura de código do Windows e do Authenticode, bem como ao Controle de Aplicativos para Windows. Ele dá suporte amplamente a outros modelos de assinatura e confiança além do Windows.
Modelo de Confiança Pública
A Confiança Pública é um dos dois modelos de confiança fornecidos na Assinatura de Artefatos e é o modelo mais usado. Os certificados no modelo de Confiança Pública são emitidos da Autoridade de Certificação Raiz de Verificação de Identidade da Microsoft 2020 e estão em conformidade com a Instrução de Prática de Certificação de Terceiros (CPS) dos Serviços PKI da Microsoft. Essa AC raiz está incluída no programa de certificados raiz de terceiros confiáveis para assinaturas de código e carimbos de data/hora, como o Programa de Certificados Raiz da Microsoft.
Os recursos de Confiança Pública na Assinatura de Artefatos foram projetados para dar suporte aos seguintes cenários de assinatura e recursos de segurança:
- Assinatura de código do aplicativo Win32
- Controle de aplicativo inteligente no Windows 11
- /INTEGRITYCHECK assinatura de integridade forçada para binários executáveis portáteis (PE)
- Enclaves de VBS (segurança baseada em virtualização)
É recomendável usar a Confiança Pública para assinar qualquer artefato que você pretende compartilhar publicamente. O signatário deve ser uma identidade validada pelo sistema de Assinatura de Artefatos. Aplicativos assinados com o modelo de Confiança Pública da Assinatura de Artefato resultam em usuários que desfrutam de uma experiência produtiva no Windows com recursos modernos de proteção de segurança habilitados, como o Controle de Aplicativo Inteligente e o SmartScreen.
Observação
A Assinatura de Artefatos inclui opções para perfis de certificado "de teste" na coleção de Confiança Pública, mas os certificados não são considerados confiáveis publicamente. Esses perfis de certificado de Teste de Confiança Pública se destinam a ser usados para assinaturas de teste/desenvolvimento de loop interno e não devem ser considerados confiáveis.
Modelo de Confiança Privada
Private Trust é o segundo modelo de confiança fornecido na Assinatura de Artefatos. É para confiança opcional quando as assinaturas não são amplamente confiáveis em todo o ecossistema. A hierarquia de Autoridades de Certificação (CA) usada para recursos de Confiança Privada de Assinatura de Artefatos não é confiável por padrão em nenhum programa raiz e no Windows. Em vez disso, ele foi projetado para usar nos recursos do Controle de Aplicativos para Empresas (anteriormente Windows Defender Application Control, WDAC), incluindo:
- Usar a assinatura de código para controle e proteção adicionados com o WDAC
- Usar políticas assinadas para proteger o Controle de Aplicativos do Windows Defender contra violação
- Opcional: criar um certificado de assinatura de código para o Controle de Aplicativos do Windows Defender
Para obter mais informações sobre como configurar e assinar políticas do WDAC usando uma referência de Assinatura de Artefato, consulte o início rápido da Assinatura de Artefatos.