Modele zaufania zaufanego podpisywania
W tym artykule wyjaśniono koncepcję modeli zaufania, podstawowe modele zaufania zapewniane przez zaufane podpisywanie oraz sposób ich używania w wielu różnych scenariuszach podpisywania obsługiwanych przez zaufane podpisywanie.
Modele zaufania
Model zaufania definiuje reguły i mechanizmy weryfikacji podpisów cyfrowych oraz zapewnia bezpieczeństwo komunikacji w środowisku cyfrowym. Modele zaufania definiują sposób ustanawiania i utrzymania zaufania w jednostkach w ekosystemie cyfrowym.
W przypadku użytkowników podpisów, takich jak publicznie zaufane podpisywanie kodu dla aplikacji systemu Microsoft Windows, modele zaufania zależą od podpisów, które mają certyfikaty z urzędu certyfikacji ,który jest częścią głównego programu certyfikatów firmy Microsoft. Z tego powodu modele zaufania zaufanego podpisywania są przeznaczone głównie do obsługi funkcji podpisywania i zabezpieczeń usługi Windows Authenticode korzystających z podpisywania kodu w systemie Windows (na przykład inteligentnej kontroli aplikacji i kontroli aplikacji usługi Windows Defender).
Zaufane podpisywanie udostępnia dwa podstawowe modele zaufania, które obsługują szeroką gamę użycia podpisów (walidacje):
Uwaga
Nie ograniczasz się do stosowania modeli zaufania, które są używane w scenariuszach podpisywania opisanych w tym artykule. Zaufane podpisywanie zostało zaprojektowane pod kątem obsługi podpisywania kodu windows i Authenticode oraz kontroli aplikacji dla funkcji systemu Windows. Ogólnie obsługuje inne modele podpisywania i zaufania poza systemem Windows.
Model zaufania publicznego
Zaufanie publiczne jest jednym z dwóch modeli zaufania, które są udostępniane w zaufanym podpisywaniu i jest najczęściej używanym modelem. Certyfikaty w modelu zaufania publicznego są wystawiane z głównego urzędu certyfikacji weryfikacji tożsamości firmy Microsoft 2020 i zgodne z oświadczeniem dotyczącym praktyk certyfikacji innych firm (CPS) usług Microsoft PKI Services. Ten główny urząd certyfikacji jest zawarty w głównym programie certyfikatów jednostki uzależnionej, takim jak program certyfikatów głównych firmy Microsoft, na potrzeby podpisywania kodu i sygnatury czasowej.
Zasoby zaufania publicznego w ramach zaufanego podpisywania są przeznaczone do obsługi następujących scenariuszy podpisywania i funkcji zabezpieczeń:
- Podpisywanie kodu aplikacji Win32
- Inteligentna kontrola aplikacji w systemie Windows 11
- /INTEGRITYCHECK wymuszone podpisywanie integralności dla przenośnych plików binarnych plików wykonywalnych (PE)
- Enklawy zabezpieczeń opartych na wirtualizacji (VBS)
Zalecamy używanie publicznego zaufania do podpisywania dowolnego artefaktu, który chcesz udostępnić publicznie. Osoba podpisowa powinna być zweryfikowaną organizacją prawną lub osobą indywidualną.
Uwaga
Zaufane podpisywanie obejmuje opcje profilów certyfikatów "testowych" w kolekcji Zaufania publicznego, ale certyfikaty nie są publicznie zaufane. Profile certyfikatów testu zaufania publicznego mają być używane do tworzenia i testowania pętli wewnętrznej i nie powinny być zaufane.
Model zaufania prywatnego
Zaufanie prywatne to drugi model zaufania, który jest udostępniany w obszarze Zaufane podpisywanie. Jest to dla zaufania, gdy podpisy nie są powszechnie zaufane w ekosystemie. Hierarchia urzędu certyfikacji używana dla zasobów zaufanego podpisywania prywatnego nie jest domyślnie zaufana w żadnym programie głównym i w systemie Windows. Zamiast tego jest ona przeznaczona do używania w funkcji Kontroli aplikacji dla firm (dawniej Windows Defender Application Control, WDAC), w tym:
- Używanie podpisywania kodu w celu zapewnienia dodatkowej kontroli i ochrony za pomocą usługi WDAC
- Używanie podpisanych zasad w celu ochrony kontroli aplikacji usługi Windows Defender przed naruszeniami
- Opcjonalnie: tworzenie certyfikatu podpisywania kodu dla kontrolki aplikacji usługi Windows Defender
Aby uzyskać więcej informacji na temat konfigurowania i podpisywania zasad WDAC przy użyciu dokumentacji zaufanego podpisywania, zobacz przewodnik Szybki start dotyczący zaufanego podpisywania.