Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica el concepto de modelos de confianza, los modelos de confianza principales que proporciona la firma de confianza y cómo usarlos en una amplia variedad de escenarios de firma que admite la firma de confianza.
Modelos de confianza
Un modelo de confianza define las reglas y mecanismos para validar firmas digitales y garantizar la seguridad de las comunicaciones en un entorno digital. Los modelos de confianza definen cómo se establece y mantiene la confianza dentro de las entidades de un ecosistema digital.
Para los consumidores de firmas, como la firma de código de confianza pública para aplicaciones de Microsoft Windows, los modelos de confianza dependen de firmas que tengan certificados de una entidad de certificación (CA) que forme parte del Programa de certificados raíz de Microsoft. Por este motivo, los modelos de confianza Trusted Signing están diseñados principalmente para admitir las características de firma y seguridad de Windows Authenticode que utilizan la firma de código en Windows (por ejemplo, Smart App Control y Control de aplicaciones de Windows Defender).
Firma de confianza proporciona dos modelos de confianza principales para admitir una amplia variedad de consumo de firmas (validaciones):
Nota:
No está limitado a aplicar los modelos de confianza que se usan en los escenarios de firma descritos en este artículo. Firma de confianza se diseñó para admitir la firma de código de Windows y Authenticode, y el control de aplicaciones para las características de Windows. Admite ampliamente otros modelos de firma y confianza más allá de Windows.
Modelo de confianza pública
La confianza pública es uno de los dos modelos de confianza que se proporcionan en firma de confianza y es el modelo más usado. Los certificados del modelo de confianza pública se emiten desde el Microsoft Identity Verification Root Certificate Authority 2020 y cumplen con la Declaración de Prácticas de Certificación de Terceros (CPS) de Servicios PKI de Microsoft. Esta entidad de certificación raíz se incluye en el programa de certificados raíz de un usuario de confianza, como el Programa de certificados raíz de Microsoft para la firma de código y la marca de tiempo.
Los recursos de confianza pública en la firma de confianza están diseñados para admitir los siguientes escenarios de firma y características de seguridad:
- Firma de código de aplicación Win32
- Control de aplicaciones inteligentes en Windows 11
- /INTEGRITYCHECK fuerza la firma de integridad para binarios ejecutables portables (PE).
- Enclaves de seguridad basados en virtualización (VBS)
Se recomienda usar la confianza pública para firmar cualquier artefacto que quiera compartir públicamente. El firmante debe ser una identidad validada con un método de firma confiable. Las aplicaciones firmadas con el modelo de confianza pública de Firma de confianza ofrecen a los usuarios una experiencia productiva en Windows, con características modernas de protección de seguridad habilitadas, como Smart App Control y SmartScreen.
Nota:
Firma de confianza incluye opciones para perfiles de certificado de "prueba" en la colección de confianza pública, pero los certificados no son de confianza pública. Los perfiles de certificado de prueba de confianza pública están diseñados para usarse para la firma de desarrollo/pruebas de bucle interno y no se debe confiar en ellos.
Modelo de confianza privada
La confianza privada es el segundo modelo de confianza que se proporciona en Firma de confianza. Es para establecer confianza voluntaria cuando las firmas no tienen confianza generalizada en todo el ecosistema. La jerarquía de entidades de certificación que se usa para los recursos de confianza privada de Firma de confianza no es de confianza predeterminada en ningún programa raíz ni en Windows. En su lugar, está diseñado para usarse en las características de Control de aplicaciones para empresas (anteriormente Control de aplicaciones de Windows Defender, WDAC), entre las que se incluyen:
- Uso de la firma de código para un control y protección agregados con WDAC
- Usar directivas firmadas para proteger el control de aplicaciones de Windows Defender contra alteraciones
- Opcional: Crear un certificado de firma de código para el control de aplicaciones de Windows Defender
Para obtener más información sobre cómo configurar y firmar directivas WDAC mediante una referencia de Firma de confianza, consulte la guía de inicio rápido de Firma de confianza.