Autenticação do Device Guard

Artigo
11/02/2021
4 minutos para ler

Aplica-se a

Windows 10

Importante

Microsoft Store para Empresas e Microsoft Store para Educação serão desativados no primeiro trimestre de 2023. Você pode continuar a usar as capacidades atuais de aplicativos gratuitos até esse momento. Para mais informações sobre esta mudança, veja Evolução do Microsoft Store para Empresas e Educação.

Importante

Estamos introduzindo uma nova versão do Serviço de Assinatura do Device Guard (DGSS) para ser mais amigável à automação. A nova versão do serviço (DGSS v2) já está disponível. Conforme anunciado anteriormente, você terá até 9 de junho de 2021 para fazer a transição para o DGSS v2. Em 9 de junho de 2021, os mecanismos baseados na Web existentes para a versão atual do serviço DGSS serão retirados e não estarão mais disponíveis para uso. Faça planos para migrar para a nova versão do serviço até 9 de junho de 2021.

A seguir estão as principais alterações que estamos fazendo no serviço:

O método para consumir o serviço mudará para um método mais amigável à automação com base nos cmdlets do PowerShell. Esses cmdlets estão disponíveis como NuGet download, https://www.nuget.org/packages/Microsoft.Acs.Dgss.Client/ .
Para obter o isolamento desejado, será necessário obter uma nova política ci do DGSS v2 (e, opcionalmente, assino-a).
O DGSS v2 não terá suporte para baixar certificados folha usados para assinar seus arquivos (no entanto, o certificado raiz ainda estará disponível para download). Observe que o certificado usado para assinar um arquivo pode ser facilmente extraído do próprio arquivo assinado. Como resultado, depois que o DGSS v1 for retirado, você não poderá mais baixar os certificados folha usados para assinar seus arquivos.

A funcionalidade a seguir estará disponível por meio desses cmdlets do PowerShell:

Obter uma política de CI
Assinar uma política de CI
Assinar um catálogo
Baixar certificado raiz
Histórico de download de suas operações de assinatura

Para qualquer dúvida, entre em contato conosco DGSSMigration@microsoft.com.

A assinatura do Device Guard é um recurso do Device Guard que oferece aos administradores um único local para assinar arquivos de catálogo e políticas de integridade de código. Depois que tiverem criado arquivos de catálogo para aplicativos não assinados e assinado os arquivos de catálogo, os administradores poderão adicionar os signatários a uma política de integridade do código. É possível mesclar a política de integridade do código à política existente para incluir o certificado de assinatura personalizado. Isso permite confiar nos arquivos de catálogo.

O Device Guard é um conjunto de recursos que consiste em recursos de proteção à integridade do sistema de hardware e software. Esses recursos usam novas opções de segurança baseadas na virtualização e o modelo de sistema operacional do dispositivo móvel que não confia em nada. Um recurso-chave nesse modelo se chama integridade de código configurável, que permite à organização escolher exatamente quais software ou fornecedores de software confiáveis têm permissão para executar código nos computadores cliente. Além disso, o Device Guard oferece às organizações uma maneira de assinar aplicativos de linha de negócios (LOB) existentes, de maneira que eles possam confiar no próprio código sem a exigência de que o aplicativo seja reempacotado. Além disso, esse mesmo método de assinatura permite que as organizações confiem em aplicativos de terceiros individuais. Para saber mais, veja Guia de implantação do Device Guard.

Nesta seção

Tópico	Descrição
Adicionar aplicativo não assinado à política de integridade do código	Quando quiser adicionar um aplicativo não assinado a uma política de integridade do código, você deverá começar com uma política de integridade do código criada com base em um dispositivo de referência. Em seguida, crie os arquivos de catálogo do aplicativo não assinado, assine os arquivos de catálogo e mescle a política padrão que inclui o certificado de assinatura com políticas de integridade do código existentes.
Assinar política de integridade do código com a autenticação do Device Guard	Assinar políticas de integridade do código impede que as políticas sejam violadas após serem implantadas. É possível assinar políticas de integridade do código com o portal de assinatura do Device Guard.

Tópico

Descrição

Adicionar aplicativo não assinado à política de integridade do código

Quando quiser adicionar um aplicativo não assinado a uma política de integridade do código, você deverá começar com uma política de integridade do código criada com base em um dispositivo de referência. Em seguida, crie os arquivos de catálogo do aplicativo não assinado, assine os arquivos de catálogo e mescle a política padrão que inclui o certificado de assinatura com políticas de integridade do código existentes.

Assinar política de integridade do código com a autenticação do Device Guard

Assinar políticas de integridade do código impede que as políticas sejam violadas após serem implantadas. É possível assinar políticas de integridade do código com o portal de assinatura do Device Guard.

Comandos do PowerShell do Serviço de Assinatura do Device Guard (v2)

Observação

[.. common ..] são parâmetros comuns em todos os comandos documentados abaixo das definições de comando.

Get-DefaultPolicy Obtém o arquivo .xml de política padrão associado ao locatário atual.

Uso:

Get-DefaultPolicy -OutFile filename [-PassThru] [.. common ..]

Parâmetros:

OutFile - cadeia de caracteres, obrigatória - O nome do arquivo onde o arquivo de política padrão deve ser persistente no disco. O nome do arquivo deve ser .xml arquivo. Se o arquivo já existir, ele será substituído (observação: crie a pasta primeiro).

PassThru - opção, opcional - Se presente, retorna um objeto XmlDocument retornando o arquivo de política padrão.
Tempo de execução do comando:

O tempo médio de execução é menor que 20 segundos, mas pode ser de até 3 minutos.

Get-RootCertificate Obtém o certificado raiz do locatário atual. Todos os certificados authenticode e de assinatura de política eventualmente serão encadeada a esse certificado raiz.

Uso:

Get-RootCertificate -OutFile filename [-PassThru] [.. common ..]

Parâmetros:

OutFile - cadeia de caracteres, obrigatória - O nome do arquivo onde o arquivo de certificado raiz deve ser persistente no disco. O nome do arquivo deve ser um arquivo .cer. Se o arquivo já existir, ele será substituído (observação: crie a pasta primeiro).

PassThru - opção, opcional - Se presente, retorna um objeto X509Certificate2 retornando o arquivo de política padrão.
Tempo de execução do comando:

O tempo médio de execução é menor que 20 segundos, mas pode ser de até 3 minutos.

Get-SigningHistory Obtém informações dos 100 arquivos mais recentes assinados pelo locatário atual. Os resultados são retornados como uma coleção com elementos em ordem cronológica inversa (mais recente a menos recente).

Uso:

Get-SigningHistory -OutFile filename [-PassThru] [.. common ..]

Parâmetros:

OutFile - cadeia de caracteres, obrigatória - O nome do arquivo onde o arquivo de histórico de assinatura deve ser persistente no disco. O nome do arquivo deve ser .xml arquivo. Se o arquivo já existir, ele será substituído (observação: crie a pasta primeiro).

PassThru - opção, opcional - Se presente, retorna objetos XML retornando o arquivo XML.
Tempo de execução do comando:

O tempo médio de execução é menor que 10 segundos.

Submit-SigningJob Envia um arquivo ao serviço para assinatura e data/hora. O módulo dá suporte ao tipo de arquivo válido para autenticação authenticode é arquivo Catalog (.cat). Tipo de arquivo válido para assinatura de política são arquivos de política binária com a extensão (.bin) que foram criados por meio do cmdlet ConvertFrom-CiPolicy. Caso contrário, o arquivo de política binária pode não ser implantado corretamente.

Uso:

Submit-SigningJob -InFile filename -OutFile filename [-NoTimestamp][- TimeStamperUrl "timestamper url"] [-JobDescription "description"] [.. common ..]

Parâmetros:

InFile - cadeia de caracteres, obrigatória - O arquivo a ser assinado. Este deve ser um arquivo dos tipos descritos na descrição acima (.cat ou .bin).

OutFile - cadeia de caracteres, obrigatória - O arquivo de saída que deve ser gerado pelo processo de assinatura. Se esse arquivo já existir, ele será substituído. (observação: crie a pasta primeiro)

NoTimestamp - opção, opcional - Se presente, a operação de assinatura ignorará o tempo de data/hora do arquivo de saída e será assinada somente. Se não estiver presente (padrão) e TimeStamperUrl apresentar, o arquivo de saída será assinado e data/hora. Se NoTimestamp e TimeStamperUrl não estiver presente, a operação de assinatura ignorará o tempo de data/hora do arquivo de saída e será assinada somente.

TimeStamperUrl - cadeia de caracteres, opcional - Se esse valor for Url inválida (e NoTimestamp não estiver presente), o módulo lançará exceção. Para entender mais sobre o timestamping, consulte Timestamping.

JobDescription - cadeia de caracteres, opcional - Um short (< 100 caracteres), descrição aceitável para leitura humana deste envio. Se o script estiver sendo chamado como parte de uma com build automatizada, o agente poderá desejar passar um número de versão ou um número de conjuntos de alterações para esse campo. Essas informações serão fornecidas como parte dos resultados do Get-SigningHistory comando.

Submit-SigningV1MigrationPolicy Envia um arquivo ao serviço para assinatura e data/hora. O único tipo de arquivo válido para assinatura de política são arquivos de política binária com a extensão (.bin) que foram criados por meio do cmdlet ConvertFromCiPolicy. Caso contrário, o arquivo de política binária pode não ser implantado corretamente. Observação: use somente para migração V1.

Uso:

Submit-SigningV1MigrationPolicy -InFile filename -OutFile filename [-NoTimestamp][-TimeStamperUrl "timestamper url"] [-JobDescription "description"] [.. common ..]

Parâmetros:

InFile - cadeia de caracteres, obrigatória - O arquivo a ser assinado. Este deve ser um arquivo dos tipos descritos na descrição acima (.bin).

OutFile - cadeia de caracteres, obrigatória - O arquivo de saída que deve ser gerado pelo processo de assinatura. Se esse arquivo já existir, ele será substituído.

Observação

Crie a pasta primeiro.

NoTimestamp - opção, opcional - Se presente, a operação de assinatura ignorará o tempo de data/hora do arquivo de saída e será assinada somente. Se não estiver presente (padrão) e TimeStamperUrl apresentar, o arquivo de saída será assinado e data/hora. Se NoTimestamp e TimeStamperUrl não estiver presente, a operação de assinatura ignorará o tempo de data/hora do arquivo de saída e será assinada somente.

TimeStamperUrl - cadeia de caracteres, opcional - Se esse valor for Url inválida (e NoTimestamp não estiver presente), o módulo lançará exceção. Para entender mais sobre o timestamping, consulte Timestamping.

JobDescription - cadeia de caracteres, opcional - Um short (< 100 caracteres), descrição aceitável para leitura humana deste envio. Se o script estiver sendo chamado como parte de um processo de com build automatizado, o agente poderá desejar passar um número de versão ou um número de conjuntos de alterações para este campo. Essas informações serão fornecidas como parte dos resultados do Get-SigningHistory comando.
Tempo de execução do comando:

O tempo médio de execução é menor que 20 segundos, mas pode ser de até 3 minutos.

Parâmetros comuns [.. common ..]

Além dos parâmetros específicos do cmdlet, cada cmdlet compreende os seguintes parâmetros comuns.

Uso:

... [-NoPrompt] [-Credential $creds] [-AppId AppId] [-Verbose]

Parâmetros:

NoPrompt - opção, opcional - Se presente, indica que o script está sendo executado em um ambiente sem cabeça e que toda a interface do usuário deve ser suprimida. Se a interface do usuário deve ser exibida (por exemplo, para autenticação) quando a opção estiver definida, a operação falhará.

Credential + AppId - PSCredential - Uma credencial de logon (nome de usuário e senha) e AppId.

Limites de arquivo e tamanho

Quando você carrega arquivos de autenticação do Device Guard, existem alguns limites de arquivos e tamanho do arquivo:

Descrição	Limite
Tamanho máximo de um arquivo de política ou catálogo	3,5 MB
Tamanho máximo de vários arquivos (carregados em um grupo)	4 MB
Número máximo de arquivos por upload	15 arquivos

Tipos de arquivo

Os arquivos de catálogo e política solicitaram tipos de arquivos.

Arquivo	Tipo de arquivo necessário
arquivos de catálogo	.cat
arquivos de política	.bin

Funções e permissões da Microsoft Store para Empresas

As políticas de integridade de código de autenticação e o acesso ao portal do Device Guard requerem a função de signatário do Device Guard.

Certificados de assinatura do Device Guard

Todos os certificados gerados pelo serviço de assinatura do Device Guard são exclusivos por cliente e independentes das autoridades de certificação de assinatura do código de produção Microsoft. Todas as chaves da autoridade de certificação (CA) são armazenadas dentro do limite criptográfico dos módulos de segurança de hardware compatível com 140-2 da publicação do Federal Information Processing Standards (FIPS). Após a geração inicial, as chaves de certificado raiz e as chaves de autoridade de certificação de nível superior são removidas do serviço de assinatura online, criptografadas e armazenadas offline.