Поделиться через

Необязательно: Create сертификат подписи кода для управления приложениями Защитник Windows

Примечание.

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

При развертывании Защитник Windows управления приложениями (WDAC) может потребоваться подписать файлы каталога или политики WDAC внутренне. Для этого необходимо использовать службу Доверенное подписание Майкрософт, общедоступный сертификат подписи кода или внутренний ЦС. Если вы приобрели сертификат подписи кода, можно пропустить эту статью и вместо этого следовать другим статьям, перечисленным в руководстве по развертыванию управления приложениями Защитник Windows.

Если у вас есть внутренний центр сертификации, выполните следующие действия, чтобы создать сертификат подписи кода.

Warning

При создании сертификатов подписи для подписывания политики WDAC может произойти сбой загрузки (синий экран), если сертификат подписи не соответствует следующим правилам:

  • Все политики, включая базовые и дополнительные, должны быть подписаны в соответствии со стандартом PKCS 7.
  • Используйте ключи RSA только с размером 2, 3 или 4K. ECDSA не поддерживается.
  • Вы можете использовать алгоритм SHA-256, SHA-384 или SHA-512 в качестве алгоритма дайджеста на Windows 11, а также Windows 10 и Windows Server 2019 и более поздних версий после применения накопительного обновления для системы безопасности за ноябрь 2022 г. Все остальные устройства поддерживают только SHA256.

  1. Откройте оснастку консоли управления MMC ЦС и выберите ваш центр сертификации, выдающий сертификаты подписи.

  2. После подключения щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление , чтобы открыть консоль шаблоны сертификации.

    Оснастка ЦС с шаблонами сертификатов.

    Рис. 1. Управление шаблонами сертификатов

  3. В области навигации щелкните правой кнопкой мыши сертификат подписи кода и выберите пункт Дублировать шаблон.

  4. На вкладке Совместимость снимите флажок Показать последующие изменения . Выберите Windows Server 2012 в списке Центр сертификации , а затем выберите Windows 8 / Windows Server 2012 в списке Получатель сертификата .

  5. На вкладке Общие укажите Отображаемое имя шаблона и Имя шаблона. В этом примере используется имя Сертификат подписи каталога WDAC.

  6. На вкладке Обработка запроса установите флажок Разрешить экспортировать закрытый ключ.

  7. На вкладке Расширения выберите поле Основные ограничения проверка и нажмите кнопку Изменить.

  8. В диалоговом окне Расширение «Изменение основных ограничений» установите флажок Включить это расширение, как показано на рисунке 2.

    Изменение расширения базовых ограничений.

    Рис. 2. Выберите ограничения для нового шаблона

  9. Если для утверждения выданных сертификатов требуется диспетчер сертификатов, установите флажок Одобрения диспетчера сертификатов ЦС на вкладке Требования выдачи.

  10. На вкладке Имя субъекта выберите Предоставляется в запросе.

  11. На вкладке Безопасность убедитесь, что все учетные записи, которые будут использоваться для запроса сертификата, имеют право на регистрацию сертификата.

  12. Нажмите кнопку ОК , чтобы создать шаблон, а затем закройте консоль шаблона сертификата.

После создания шаблона сертификата необходимо опубликовать его в хранилище опубликованных шаблонов центра сертификации. Для этого необходимо выполнить описанные ниже действия.

  1. В оснастке MMC центра сертификации щелкните правой кнопкой мыши Шаблоны сертификации, наведите указатель мыши на пункт Создать, а затем выберите Шаблон сертификата для выдачи, как показано на рис. 3.

    Выберите Шаблон сертификата для выдачи.

    Рис. 3. Выбор нового выдаваемого шаблона сертификата

    Отобразится список доступных шаблонов для выдачи, включая созданный шаблон.

  2. Выберите сертификат подписи каталога WDAC и нажмите кнопку ОК.

Теперь, когда шаблон доступен для выдачи, необходимо запросить его с компьютера, на котором выполняется Windows 10 или Windows 11, на котором создаются и подписываются файлы каталога. Откройте консоль MMC и выполните описанные ниже действия.

  1. В MMC в меню Файл выберите Добавить и удалить оснастку. Дважды щелкните Сертификатыи выберите Моя учетная запись пользователя.

  2. В оснастке Сертификаты щелкните правой кнопкой мыши папку Личное хранилище, наведите указатель мыши на пункт Все задачи, а затем выберите Запросить новый сертификат.

  3. Дважды нажмите кнопку Далее , чтобы перейти к списку выбора сертификатов.

  4. В списке Запросить сертификат выберите только что созданный сертификат подписи, а затем щелкните голубую надпись, предлагающую ознакомиться с дополнительными сведениями (см. рис. 4).

    Запрос сертификатов: требуются дополнительные сведения.

    Рис. 4. Получение дополнительных сведений о сертификате подписи кода

  5. В диалоговом окне Свойства сертификата для параметра Типвыберите значение Общее имя. В поле Значение укажите понятное имя сертификата (в этом примере мы выбираем $ContosoSigningCert), а затем нажмите кнопку Добавить. При добавлении нажмите кнопку ОК.

  6. В завершение выполните регистрацию.

Примечание.

Если диспетчер сертификатов должен утвердить все выданные сертификаты и вы выбрали для этого шаблона утверждение управления, запрос должен быть утвержден в ЦС, прежде чем он будет выдан клиенту.

Этот сертификат должен быть установлен в личном хранилище пользователя на компьютере, который будет подписывать файлы каталога и политики целостности кода. Если подписывание будет происходить на том же компьютере, который использовался для запроса сертификата, можно пропустить следующие действия. Если вы будете выполнять вход на другом компьютере, необходимо экспортировать PFX-сертификат с необходимыми ключами и свойствами. Для этого необходимо выполнить описанные ниже действия.

  1. Щелкните правой кнопкой мыши сертификат, наведите указатель на пункт Все задачи, а затем выберите Экспорт.

  2. Нажмите кнопку Далее, а затем — Да, экспортируйте закрытый ключ.

  3. Выберите параметры по умолчанию, а затем выберите Экспортировать все расширенные свойства.

  4. Задайте пароль, выберите путь для экспорта, а затем укажите в качестве имени файла WDACCatSigningCert.pfx .

Если сертификат был экспортирован, импортируйте его в личное хранилище для пользователя, который будет подписывать файлы каталога или политики целостности кода, на конкретном компьютере, который их будет подписывать.