Table of contents
TOC
Recolher sumário
Expandir sumário

Autenticação do Device Guard

Trudy Hakala|Última Atualização: 22/09/2016
|
1 Colaborador

Aplica-se a

  • Windows 10
  • Windows 10 Mobile

A autenticação do Device Guard é um recurso do Device Guard disponível na Windows Store para Empresas. Ele oferece aos administradores um lugar único para assinar arquivos de catálogo e políticas de integridade do código. Depois que tiverem criado arquivos de catálogo para aplicativos não assinados e assinado os arquivos de catálogo, os administradores poderão adicionar os signatários a uma política de integridade do código. É possível mesclar a política de integridade do código à política existente para incluir o certificado de assinatura personalizado. Isso permite confiar nos arquivos de catálogo.

O Device Guard é um conjunto de recursos que consiste em recursos de proteção à integridade do sistema de hardware e software. Esses recursos usam novas opções de segurança baseadas na virtualização e o modelo de sistema operacional do dispositivo móvel que não confia em nada. Um recurso-chave nesse modelo se chama integridade de código configurável, que permite à organização escolher exatamente quais software ou fornecedores de software confiáveis têm permissão para executar código nos computadores cliente. Além disso, o Device Guard oferece às organizações uma maneira de assinar aplicativos de linha de negócios (LOB) existentes, de maneira que eles possam confiar no próprio código sem a exigência de que o aplicativo seja reempacotado. Além disso, esse mesmo método de assinatura permite que as organizações confiem em aplicativos de terceiros individuais. Para saber mais, veja Guia de implantação do Device Guard.

Nesta seção

TópicoDescrição

Adicionar aplicativo não assinado à política de integridade do código

Quando quiser adicionar um aplicativo não assinado a uma política de integridade do código, você deverá começar com uma política de integridade do código criada com base em um dispositivo de referência. Em seguida, crie os arquivos de catálogo do aplicativo não assinado, assine os arquivos de catálogo e mescle a política padrão que inclui o certificado de assinatura com políticas de integridade do código existentes.

Assinar política de integridade do código com a autenticação do Device Guard

Assinar políticas de integridade do código impede que as políticas sejam violadas após serem implantadas. É possível assinar políticas de integridade do código com o portal de autenticação do Device Guard.

Limites de arquivo e tamanho

Quando você carrega arquivos de autenticação do Device Guard, existem alguns limites de arquivos e tamanho do arquivo:

DescriçãoLimite
Tamanho máximo de um arquivo de política ou catálogo3,5 MB
Tamanho máximo de vários arquivos (carregados em um grupo)4 MB
Número máximo de arquivos por upload15 arquivos

Tipos de arquivo

Os arquivos de catálogo e política solicitaram tipos de arquivos.

ArquivoTipo de arquivo necessário
arquivos de catálogo.cat
arquivos de política.bin

Funções e permissões da Windows Store para Empresas

As políticas de integridade de código de autenticação e o acesso ao portal do Device Guard requerem a função de signatário do Device Guard.

Certificados de assinatura do Device Guard

Todos os certificados gerados pelo serviço de assinatura do Device Guard são exclusivos por cliente e independentes das autoridades de certificação de assinatura do código de produção Microsoft. Todas as chaves da autoridade de certificação (CA) são armazenadas dentro do limite criptográfico dos módulos de segurança de hardware compatível com 140-2 da publicação do Federal Information Processing Standards (FIPS). Após a geração inicial, as chaves de certificado raiz e as chaves de autoridade de certificação de nível superior são removidas do serviço de assinatura online, criptografadas e armazenadas offline.

© 2017 Microsoft