Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье объясняется концепция моделей доверия, основные модели доверия, которые предоставляет Подписание Артефактов, а также их использование в различных сценариях подписывания, поддерживаемых Подписанием Артефактов.
Модели доверия
Модель доверия определяет правила и механизмы проверки цифровых подписей и обеспечения безопасности связи в цифровой среде. Модели доверия определяют, как устанавливается и поддерживается доверие в сущностях в цифровой экосистеме.
Для потребителей подписей, таких как доверенная подпись кода для приложений Microsoft Windows, модели доверия зависят от подписей, получивших сертификаты от центра сертификации (ЦС), который является частью Программы корневых сертификатов Microsoft. По этой причине модели доверия для подписывания артефактов предназначены в основном для поддержки подписи Windows Authenticode и функций безопасности, использующих подписывание кода в Windows (например, Smart App Control и Управление приложениями в Защитнике Windows).
Подписывание артефактов предоставляет две основные модели доверия для поддержки широкого спектра использования подписей (проверки):
Замечание
Вы не ограничиваетесь применением моделей доверия, которые используются в сценариях подписывания, описанных в этой статье. Подписывание артефактов было разработано для поддержки функций Windows, управления приложениями и подписывания кода Windows с использованием Authenticode. Она широко поддерживает другие модели подписывания и доверия за пределами Windows.
Модель публичного доверия
Public Trust — это одна из двух моделей доверия, предоставляемых в системе подписи артефактов, и наиболее часто используемая модель. Сертификаты в модели общедоступного доверия выдаются из корневого центра сертификации проверки идентификации Майкрософт 2020 года и соответствуют инструкции по сертификации сторонних поставщиков служб PKI (CPS). Этот корневой центр сертификации включен в программу управления корневыми сертификатами доверяющей стороны, такую как программа управления корневыми сертификатами Microsoft, для подписывания кода и отметки времени.
Ресурсы публичного доверия в подписывании артефактов предназначены для поддержки следующих сценариев подписывания и функций безопасности.
- Подпись кода приложения Win32
- Управление смарт-приложениями в Windows 11
- /INTEGRITYCHECK принудительное подписание целостности для переносимых исполняемых файлов (PE)
- Анклавы безопасности на основе виртуализации (VBS)
Мы рекомендуем использовать Public Trust для подписывания любого артефакта, который вы планируете публично предоставить общий доступ. Подписант должен иметь подтвержденную личность с использованием Artifact Signing. Приложения, подписанные с помощью модели общедоступного доверия artifact, приводят к тому, что пользователи пользуются продуктивным интерфейсом в Windows с поддержкой современных функций защиты безопасности, таких как Smart App Control и SmartScreen.
Замечание
Подписывание артефактов включает варианты для профилей сертификатов "test" в коллекции «Общественное доверие», но сами сертификаты не являются общедоступными. Профили сертификатов Общедоступного теста на доверие предназначены для использования при подписании для целей разработки и тестирования на внутреннем этапе и не должны вызывать доверие.
Модель частного доверия
Частное доверие — это вторая модель доверия, представленная в системе подписывания артефактов. Это для поэтапного доверия, когда цифровые подписи не являются широко доверенными в экосистеме. Иерархия ЦС, используемая для ресурсов частного доверия для подписи артефактов, не является доверенной по умолчанию ни в одной из корневых программ ни в Windows. Скорее, он предназначен для использования в элементе управления приложениями для бизнеса (прежнее название — управление приложениями в Защитнике Windows, WDAC), в том числе:
- Используйте подпись кода для дополнительного контроля и защиты с помощью WDAC
- Использование подписанных политик для защиты управления приложениями Защитника Windows от незаконного изменения
- Необязательно. Создание сертификата подписи кода для элемента управления приложениями в Защитнике Windows
Для получения дополнительной информации о настройке и подписи политик WDAC с использованием руководства по подписи артефактов см. краткое руководство по подписи артефактов.
Следующий шаг
Настройка подписи артефактов