Device Guard 簽署

適用對象

  • Windows 10
  • Windows 10 行動裝置版

Device Guard 簽署是商務與教育用 Microsoft Store 中提供的一項 Device Guard 功能。 它提供系統管理員一個簽署類別目錄檔案和程式碼完整性原則的單一位置。 在系統管理員針對未簽署應用程式建立類別目錄檔案並簽署類別目錄檔案之後,他們就可以將簽署人新增到程式碼完整性原則。 您可以將程式碼完整性原則合併到您現有的原則,以包含您的自訂簽署憑證。 這可讓您信任類別目錄檔案。

Device Guard 是由硬體和軟體系統完整性強化功能所組成的功能集。 這些功能會使用新的虛擬化安全性選項以及不信任行動裝置作業系統模型。 此模型中的一項主要功能稱為可設定的程式碼完整性,可讓您的組織選擇允許哪些軟體或受信任的軟體發行者在您的用戶端電腦上執行程式碼。 此外,Device Guard 讓組織可以簽署現有的企業營運 (LOB) 應用程式,組織就能信任自己的程式碼而不需要重新封裝應用程式。 此外,這個相同的簽署方法可讓組織信任個別的協力廠商應用程式。 如需詳細資訊,請參閱 Device Guard 部署指南

本節內容

主題 說明
將未簽署的 App 新增到程式碼完整性原則 當您想要將未簽署的 App 新增到程式碼完整性原則時,您需要從透過參考裝置建立的程式碼完整性原則著手。 接著,建立未簽署 App 的類別目錄檔案,簽署該類別目錄檔案,然後將包含您簽署憑證的預設原則與現有的程式碼完整性原則合併。
使用 Device Guard 簽署簽署程式碼完整性原則 簽署程式碼完整性原則防止原則在部署之後遭竄改 您可以使用 Device Guard 簽署入口網站簽署程式碼完整性原則。

檔案和大小限制

當您上傳 Device Guard 簽署的檔案時,檔案與檔案大小有一些限制:

描述 限制
原則或類別目錄檔案的大小上限 3.5 MB
多個檔案 (在群組中上傳) 的大小上限 4 MB
每次上傳的檔案最大數目 15 個檔案

檔案類型

類別目錄與原則檔案有必要的檔案類型。

檔案 必要檔案類型
類別目錄檔案 .cat
原則檔案 .bin

商務用 Store 角色與權限。

簽署程式碼完整性原則與存取 Device Guard 入口網站需要 Device Guard 簽署者角色。

Device Guard 簽署憑證

Device Guard 簽署服務所產生的所有憑證對每位客戶都是唯一的,且獨立於 Microsoft 實際程式碼簽署憑證授權單位。 所有的憑證授權單位 (CA) 金鑰都儲存於符合聯邦資訊處理標準 (FIPS) 發佈 140-2 硬體安全性模組的密碼編譯界限內。 初始產生之後,根憑證金鑰與最上層 CA 金鑰會從線上簽署服務中移除、加密並離線儲存。