Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono koncepcję modeli zaufania, podstawowe modele zaufania zapewniane przez zaufane podpisywanie oraz sposób ich używania w wielu różnych scenariuszach podpisywania obsługiwanych przez zaufane podpisywanie.
Modele zaufania
Model zaufania definiuje reguły i mechanizmy weryfikacji podpisów cyfrowych oraz zapewnia bezpieczeństwo komunikacji w środowisku cyfrowym. Modele zaufania definiują sposób ustanawiania i utrzymania zaufania w jednostkach w ekosystemie cyfrowym.
W przypadku użytkowników podpisów, takich jak publicznie zaufane podpisywanie kodu dla aplikacji systemu Microsoft Windows, modele zaufania zależą od podpisów, które mają certyfikaty z urzędu certyfikacji ,który jest częścią głównego programu certyfikatów firmy Microsoft. Z tego powodu modele zaufania Trusted Signing są przeznaczone głównie do obsługi podpisywania i zabezpieczeń systemu Windows Authenticode, które korzystają z podpisywania kodu w systemie Windows (na przykład Inteligentna kontrola aplikacji i Kontrola aplikacji Windows Defender).
Zaufane podpisywanie udostępnia dwa podstawowe modele zaufania, które obsługują szeroką gamę użycia podpisów (walidacje):
Uwaga / Notatka
Nie ograniczasz się do stosowania modeli zaufania, które są używane w scenariuszach podpisywania opisanych w tym artykule. Zaufane Podpisywanie zostało zaprojektowane w celu obsługi podpisywania kodu w systemie Windows, technologii Authenticode oraz Kontroli Aplikacji dla funkcji systemu Windows. Ogólnie obsługuje inne modele podpisywania i zaufania poza systemem Windows.
Model zaufania publicznego
Zaufanie publiczne jest jednym z dwóch modeli zaufania, które są udostępniane w zaufanym podpisywaniu i jest najczęściej używanym modelem. Certyfikaty w modelu zaufania publicznego są wystawiane z Microsoft Identity Verification Root Certificate Authority 2020 i zgodne z Microsoft PKI Services oświadczeniem dotyczącym praktyk certyfikacji stron trzecich (CPS). Ten główny urząd certyfikacji jest zawarty w głównym programie certyfikatów jednostki uzależnionej, takim jak program certyfikatów głównych firmy Microsoft, na potrzeby podpisywania kodu i sygnatury czasowej.
Zasoby zaufania publicznego w ramach zaufanego podpisywania są przeznaczone do obsługi następujących scenariuszy podpisywania i funkcji zabezpieczeń:
- Podpisywanie kodu aplikacji Win32
- Inteligentna kontrola aplikacji w systemie Windows 11
- /INTEGRITYCHECK podpisywanie integralności wymuszone dla plików binarnych wykonywalnych (PE)
- Enklawy zabezpieczeń opartych na wirtualizacji (VBS)
Zalecamy użycie publicznego zaufania w celu podpisania dowolnego artefaktu, który zamierzasz udostępnić publicznie. Podpisujący powinien mieć zweryfikowaną tożsamość ze zaufanym podpisem. Aplikacje podpisane za pomocą modelu zaufania publicznego Trusted Signing sprawiają, że użytkownicy mogą korzystać z wydajnego środowiska w systemie Windows z włączonymi nowoczesnymi funkcjami zabezpieczeń, takimi jak Smart App Control i SmartScreen.
Uwaga / Notatka
Zaufane Podpisywanie obejmuje opcje "testowych" profili certyfikatów w kolekcji Zaufania Publicznego, ale certyfikaty te nie są publicznie zaufane. Profile certyfikatów testowych zaufania publicznego są przeznaczone do używania w wewnętrznych procesach rozwoju/testowania i nie powinny być darzone zaufaniem.
Model zaufania prywatnego
Zaufanie prywatne to drugi model zaufania, który jest udostępniany w obszarze Zaufane podpisywanie. Jest to zaufanie na zasadzie dobrowolności, gdy podpisy nie są szeroko zaufane w całym ekosystemie. Hierarchia urzędu certyfikacji używana dla zasobów zaufanego podpisywania prywatnego nie jest domyślnie zaufana w żadnym programie głównym i w systemie Windows. Zamiast tego jest ona przeznaczona do używania w funkcji Kontroli aplikacji dla firm (dawniej Windows Defender Application Control, WDAC), w tym:
- Używanie podpisywania kodu w celu zapewnienia dodatkowej kontroli i ochrony za pomocą usługi WDAC
- Używanie podpisanych zasad w celu ochrony kontroli aplikacji usługi Windows Defender przed naruszeniami
- Opcjonalnie: tworzenie certyfikatu podpisywania kodu dla kontrolki aplikacji usługi Windows Defender
Aby uzyskać więcej informacji na temat konfigurowania i podpisywania zasad WDAC przy użyciu odniesienia do zaufanej weryfikacji podpisu, zobacz przewodnik Szybki start dotyczący zaufanego podpisywania.