Certificados e confiança no Windows

O Microsoft Root Certificate Program permite a distribuição de certificados raiz confiáveis e não confiáveis nos sistemas operacionais Windows. Este artigo explica como certificados e listas de confiança são gerenciados no Windows e os benefícios das atualizações automáticas para manter a segurança. Para obter mais informações sobre a lista de membros no Programa de Certificado Raiz do Windows, consulte Lista de participantes - Microsoft Trusted Root Program.

Os certificados raiz confiáveis e não confiáveis são usados pelos sistemas operacionais e aplicativos Windows como referência para determinar se as hierarquias de PKI (infraestrutura de chave pública) e os certificados digitais são confiáveis. Certificados raiz não confiáveis são certificados que são publicamente conhecidos como fraudulentos. A funcionalidade de certificados raiz confiáveis e não confiáveis funciona em todos os ambientes, conectados ou desconectados.

Os certificados raiz confiáveis e não confiáveis estão contidos em uma lista de certificados confiáveis (CTL). Quando quiser distribuir certificados de raiz, utilize uma Lista de Confiança de Certificados (CTL). O Windows Server apresenta a funcionalidade de atualização diária automática que inclui downloads das CTLs mais recentes. A lista de certificados raiz confiáveis e não confiáveis é chamada de CTL confiável e CTL não confiável, respectivamente. Para obter mais informações, consulte Anunciando o atualizador automatizado de certificados e chaves não confiáveis.

Servidores e clientes acessam o site do Windows Update para atualizar a CTL usando o mecanismo de atualização diária automática (atualizador de CTL) discutido neste artigo. Você pode aproveitar a funcionalidade do atualizador CTL instalando as atualizações de software apropriadas. Consulte o artigo Configurar raízes confiáveis e certificados não permitidos para obter orientação sobre como instalar as atualizações de software em sistemas operacionais suportados discutido neste artigo.

Atualizações automáticas da lista de certificados confiáveis

Por padrão, o Windows baixa as CTLs da Internet por meio de um mecanismo automático chamado CTL Updater. As URLs públicas usadas pelo CTL Updater podem ser disponibilizadas aos clientes:

• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

A funcionalidade de atualização automática também pode ser desativada, se necessário, embora não seja recomendada.

Como alternativa, você também pode criar modelos administrativos de Diretiva de Grupo (diretiva ADMX) para redirecionar para um servidor interno para atualizações.

O local do Registro onde CTLs confiáveis e não confiáveis são armazenadas da seguinte maneira:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

Benefícios do CTL Updater

A funcionalidade de atualização automática usando o CTL Updater oferece vários benefícios:

• Configurações do Registro para armazenar CTLs As novas configurações permitem alterar o local para carregar CTLs confiáveis ou não confiáveis do site do Windows Update para um local compartilhado em uma organização. Consulte Configurações do Registro modificadas.

• Opções de sincronização Se a URL do site do Windows Update for movida para uma pasta compartilhada local, a pasta compartilhada local deverá ser sincronizada com a pasta Windows Update. Esta atualização de software adiciona um conjunto de opções na ferramenta Certutil que você usa para habilitar a sincronização. Para obter mais informações, consulte a referência de comando do Windows Certutil -syncWithWU .

• Ferramenta para selecionar certificados raiz confiáveis Esta atualização de software apresenta uma ferramenta para gerenciar o conjunto de certificados raiz confiáveis em seu ambiente corporativo. Você pode exibir e selecionar o conjunto de certificados raiz confiáveis, exportá-los para um armazenamento de certificados serializado e distribuí-los usando a Diretiva de Grupo. Para obter mais informações, consulte a referência de comando Certutil -generateSSTFromWU SSTFile Windows.

• Configurabilidade independente O mecanismo de atualização automática para certificados confiáveis e não confiáveis é configurável de forma independente; você pode usar o mecanismo de atualização automática para baixar apenas as CTLs não confiáveis e gerenciar sua própria lista de CTLs confiáveis. Para obter mais informações, consulte Configurações do Registro modificadas.

Consulte Configurar raízes confiáveis e certificados não permitidos para obter orientação sobre como instalar as atualizações de software em sistemas operacionais suportados discutidos neste artigo.

A funcionalidade de atualização automática pode ser desativada se necessário, no entanto, não é recomendada.

Próximos passos

Agora que você entende mais sobre certificados raiz confiáveis e não permitidos no Windows, aqui estão mais alguns artigos que podem ajudá-lo a configurar seus sistemas.

• Configurar raízes confiáveis e certificados não permitidos

• Lista de participantes - Microsoft Trusted Root Program

• Controlar a funcionalidade de atualização dos certificados raiz para impedir o fluxo de informações de e para a Internet

• ID do Evento 8 — Configuração de Atualização Automática de Certificados Raiz

• certutil Referência de comandos do Windows