Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo explica o conceito de modelos de confiança, os principais modelos de confiança que a Assinatura de Artefactos fornece e como os utilizar numa grande variedade de cenários de assinatura que a Assinatura de Artefactos suporta.
Modelos de confiança
Um modelo de confiança define as regras e mecanismos para validar assinaturas digitais e garantir a segurança das comunicações num ambiente digital. Os modelos de confiança definem como a confiança é estabelecida e mantida dentro das entidades num ecossistema digital.
Para consumidores de assinaturas, como a assinatura de código publicamente confiável para aplicações Microsoft Windows, os modelos de confiança dependem de assinaturas que possuem certificados de uma Autoridade de Certificação (CA) que faz parte do Programa de Certificados Raiz da Microsoft. Por esta razão, os modelos de confiança para a assinatura de artefatos são concebidos principalmente para suportar funcionalidades de assinatura e segurança do Windows Authenticode que utilizam assinatura de código no Windows (por exemplo, Controlo de Aplicações Inteligentes e Controlo de Aplicações do Windows Defender).
A assinatura de artefatos fornece dois modelos principais de confiança para suportar uma grande variedade de formas de utilização de assinaturas (validações):
Observação
Não está limitado a apenas aplicar os modelos de confiança usados nos cenários de assinatura descritos neste artigo. A Assinatura de Artefactos foi concebida para suportar a assinatura de código do Windows e do Authenticode, bem como as funcionalidades de Controlo de Aplicações para Windows. Suporta amplamente outros modelos de assinatura e confiança para além do Windows.
Modelo de Confiança Pública
O Public Trust é um dos dois modelos de trust fornecidos na Assinatura de Artefactos e é o modelo mais utilizado. Os certificados no modelo Public Trust são emitidos pela Microsoft Identity Verification Certificate Authority 2020 e cumprem a Declaração de Prática de Certificação de Terceiros (CPS) dos Serviços Microsoft PKI. Esta CA raiz está incluída no programa de certificados raiz de uma parte confiável, como o Microsoft Root Certificate Program, para assinatura de código e carimbo temporal.
Os recursos da Public Trust em Assinatura de Artefactos são concebidos para suportar os seguintes cenários de assinatura e características de segurança:
- Assinatura de código de aplicações Win32
- Controlo de Aplicações Inteligentes no Windows 11
- /INTEGRITYCHECK assinatura forçada de integridade para binários executáveis portáteis (PE)
- Enclaves de segurança baseados em virtualização (VBS)
Recomendamos usar a Public Trust para assinar qualquer artefacto que pretenda partilhar publicamente. O signatário deve ser uma identidade validada com Artifact Signing. As aplicações assinadas com o modelo Public Trust da Artifact Signing permitem que os utilizadores desfrutem de uma experiência produtiva no Windows, com funcionalidades modernas de proteção de segurança ativadas, como Smart App Control e SmartScreen.
Observação
A Assinatura de Artefactos inclui opções para perfis de certificados "teste" na coleção Public Trust, mas os certificados não são publicamente confiáveis. Os perfis de certificados de Teste de Confiança Pública destinam-se a ser utilizados para a assinatura de código em ambientes de desenvolvimento e teste internos e não devem ser confiáveis.
Modelo de Trust Privado
O "Private Trust" é o segundo modelo de confiança fornecido na assinatura de artefactos. É para confiança por adesão quando as assinaturas não são amplamente confiáveis em todo o ecossistema. A hierarquia da CA usada para recursos de Assinatura de Artefactos de Confiança Privada não é confiável por defeito em nenhum programa raiz nem no Windows. Antes, foi concebido para ser utilizado em funcionalidades de Controlo de Aplicações para Empresas (anteriormente Windows Defender Application Control, WDAC), incluindo:
- Use assinatura de código para maior controlo e proteção com o WDAC
- Use políticas assinadas para proteger o Controlo de Aplicações do Windows Defender contra adulterações
- Opcional: Criar um certificado de assinatura de código para Controlo de Aplicações Windows Defender
Para mais informações sobre como configurar e assinar políticas WDAC usando uma referência de assinatura de artefactos, consulte o quickstart de assinatura de artefactos.