Device Guard の署名
Device Guard 署名は、ビジネス向け Windows ストアで提供される Device Guard 機能です。 管理者は 1 つの場所でカタログ ファイルとコード整合性ポリシーの署名ができます。 管理者は署名されていないアプリのためのカタログ ファイルと署名されたカタログ ファイルを作成した後、コード整合性ポリシーに署名者を追加できます。 コード整合性ポリシーを既存のポリシーとマージして、カスタム署名証明書を含めることができます。 これにより、カタログ ファイルを信頼することができます。
Device Guard は、ハードウェアとソフトウェアの両方のシステム整合性について強化された機能から構成される機能セットです。 これらの機能では、新しい仮想化ベースのセキュリティ オプションと、何も信頼しないことをベースとしたモバイル デバイス オペレーティング システム モデルが使われます。 このモデルの主要な機能は、構成可能なコード整合性と呼ばれる機能です。この機能によって、組織は、クライアント コンピューターでコードを実行できるソフトウェアや信頼できるソフトウェア発行者を厳密に選ぶことができます。 Device Guard を使うと、組織は既にある基幹業務 (LOB) アプリケーションに署名することもできます。これにより、組織独自のコードを信頼することができるようになります。アプリケーションを再パッケージ化する必要はありません。 また、これと同じ署名方法を使うことで、個々のサード パーティ製アプリケーションを信頼することもできます。 詳しくは、「Device Guard 展開ガイド」をご覧ください。
このセクションの内容
トピック | 説明 |
---|---|
署名されていないアプリをコード整合性ポリシーに追加する場合は、参照デバイスから作成したコード整合性のポリシーを使って起動する必要があります。 それから、署名されていないアプリのカタログ ファイルの作成、このカタログ ファイルの署名、既存のコード整合性ポリシーと署名証明書を含む既定のポリシーのマージが続きます。 |
|
コード整合性ポリシーに署名すると、展開されたポリシーが改ざんされるのを防ぐことができます。 コード整合性ポリシーは、Device Guard 署名ポータルで署名できます。 |
ファイルとサイズの制限
Device Guard 署名用にファイルをアップロードするときには、ファイルとファイルのサイズにいくつかの制限があります。
説明 | 制限 |
ポリシーまたはカタログ ファイルの最大サイズ | 3.5 MB |
(グループでアップロードする) 複数のファイルの最大サイズ | 4 MB |
アップロードごとのファイルの最大数 | 15 ファイル |
ファイルの種類
カタログ ファイルとポリシー ファイルには必要なファイルの種類があります。
ファイル | 必要なファイルの種類 |
カタログ ファイル | .cat |
ポリシー ファイル | .bin |
ビジネス向けストアのロールとアクセス許可
コード整合性ポリシーへの署名および Device Guard ポータルへのアクセスには Device Guard 署名者の役割が必要です。
Device Guard 署名証明書
Device Guard 署名サービスによって生成されたすべての証明書はユーザーごとに固有のもので、Microsoft の運用コード署名証明機関とは無関係です。 証明機関 (CA) キーは、連邦情報処理標準 (FIPS) 140-2 に準拠しているハードウェア セキュリティ モジュールの暗号化領域内に保存されます。 最初に生成された後、ルート証明書キーとトップ レベルの CA キーはオンライン署名サービスから削除され、暗号化されて、オフラインで保存されます。