Assinar política de integridade do código com a autenticação do Device Guard

  • Artigo
  • 2 minutos para ler

Importante

Microsoft Store para Empresas e Microsoft Store para Educação serão desativados no primeiro trimestre de 2023. Você pode continuar a usar as capacidades atuais de aplicativos gratuitos até esse momento. Para mais informações sobre esta mudança, veja Evolução do Microsoft Store para Empresas e Educação.

Importante

Estamos introduzindo uma nova versão do Serviço de Assinatura do Device Guard (DGSS) para ser mais amigável à automação. A nova versão do serviço (DGSS v2) já está disponível. Conforme anunciado anteriormente, você terá até 9 de junho de 2021 para fazer a transição para o DGSS v2. Em 9 de junho de 2021, os mecanismos baseados na Web existentes para a versão atual do serviço DGSS serão retirados e não estarão mais disponíveis para uso. Faça planos para migrar para a nova versão do serviço até 9 de junho de 2021.

A seguir estão as principais alterações que estamos fazendo no serviço:

  • O método para consumir o serviço mudará para um método mais amigável à automação com base nos cmdlets do PowerShell. Esses cmdlets estão disponíveis como NuGet download, https://www.nuget.org/packages/Microsoft.Acs.Dgss.Client/ .
  • Para obter o isolamento desejado, será necessário obter uma nova política ci do DGSS v2 (e, opcionalmente, assino-a).
  • O DGSS v2 não terá suporte para baixar certificados folha usados para assinar seus arquivos (no entanto, o certificado raiz ainda estará disponível para download). Observe que o certificado usado para assinar um arquivo pode ser facilmente extraído do próprio arquivo assinado. Como resultado, depois que o DGSS v1 for retirado, você não poderá mais baixar os certificados folha usados para assinar seus arquivos.

A funcionalidade a seguir estará disponível por meio desses cmdlets do PowerShell:

  • Obter uma política de CI
  • Assinar uma política de CI
  • Assinar um catálogo
  • Baixar certificado raiz
  • Histórico de download de suas operações de assinatura

Para qualquer dúvida, entre em contato conosco DGSSMigration@microsoft.com.

Aplicável ao

  • Windows 10

Assinar políticas de integridade do código impede que as políticas sejam violadas após serem implantadas. É possível assinar políticas de integridade do código com o portal de assinatura do Device Guard.

Assinar a política de integridade do código

Antes de começar, assegure-se de examinar estas práticas recomendadas:

Práticas recomendadas

  • Teste as políticas de integridade do código em um grupo de dispositivos antes de implantá-las em um grupo grande de dispositivos.
  • Use opções de regra de 9 e 10 durante o teste. Para obter mais informações, consulte a seção Regras da política de integridade do código no Guia de implantação do Device Guard.

Para assinar uma política de integridade do código

  1. Entre na Microsoft Store para Empresas ou Microsoft Store para Educação.

  2. Clique em Gerenciar, em Configurações da Microsoft Store e em Device Guard.

  3. Clique em Carregar para carregar a política de integridade do código.

  4. Depois que os arquivos forem carregados, clique em Assinar para assinar a política de integridade do código.

  5. Clique em Baixar para baixar a política de integridade do código assinado.

    Quando você assina uma política de integridade do código com o portal de assinatura do Device Guard, o certificado de assinatura é adicionado à política. Isso significa que não é possível modificar essa política. Caso você precise fazer alterações, faça-as em uma versão não assinada da política e a abandone.