دعم Windows لمنطق معالجة المرجع المصدق الجديد ل Application Control for Business

مقدمة

توضح المقالة منطق معالجة Application Control for Business الجديد (المعروف سابقا باسم Windows Defender Application Control (WDAC)) لقواعد الموقع حيث يتم تحديد قيمة تجزئة TBS لمرجع مصدق وسيط من Microsoft (CA).

Microsoft إصدار CAs

يتم توقيع مكونات Microsoft وWindows بواسطة شهادات طرفية صادرة بشكل أساسي عن ستة من Microsoft Issueing CAs. بدءا من يوليو 2025، تبدأ صلاحية هذه الهيئات المصدقة المصدرة لمدة 15 عاما وفقا للجدول الزمني التالي.

اسم المرجع المصدق	تجزئة TBS	تاريخ انتهاء الصلاحية
توقيع رمز Microsoft PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6 يوليو 2025
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6 يوليو 2025
توقيع رمز Microsoft PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8 يوليو 2026
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19 أكتوبر 2026
Microsoft Windows Third Party Component CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18 أبريل 2027

اسم المرجع المصدق	تجزئة TBS
تم استبدال Microsoft Code Signing PCA 2010 ب
توقيع رمز Microsoft Windows PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
تم استبدال Microsoft Windows PCA 2010 ب
Microsoft Windows Component Preproduction CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
تم استبدال Microsoft Code Signing PCA 2011 ب
توقيع رمز Microsoft PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
تم استبدال Windows Production PCA 2011 ب
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
تم استبدال Microsoft Windows Third Party Component CA 2012 ب
Microsoft Windows Third Party Component CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

في حين أنه من المستحسن، لا تحتاج نهج التحكم في التطبيق التي تحتوي على قواعد الموقع مع قيم تجزئة TBS المدرجة في الجدول أعلاه إلى التحديث للثقة في المكونات الموقعة من قبل المراجع المصدقة الجديدة 2023 و2024. سيستنتج التحكم في التطبيق تلقائيا الثقة في CAs الجديدة 2023 و2024، وقيم تجزئة TBS الخاصة بها، إذا كان نهجك يحتوي على قواعد تثق في CAs الحالية.

على سبيل المثال، إذا كان نهجك يثق في Windows Production PCA 2011 باستخدام القاعدة التالية، استنتاج الثقة في إصدار Windows Production PCA 2023 الجديد تلقائيا. يتم الاحتفاظ بعناصر الموقع مثل CertEKU وCertPublisher وFileAttribRef وCertOemId في منطق الاستدلال.

أمثلة على قاعدة الموقع

قاعدة الموقع الحالي

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

قاعدة الموقع المستنتجة

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

يمتد منطق المعالجة الجديد أيضا إلى رفض قواعد الموقع في النهج. لذلك، إذا رفضت المكونات الموقعة من قبل CAs الحالية، فسيستمر رفض هذه المكونات بمجرد توقيعها باستخدام CAs الجديدة 2023 و2024.

قاعدة الموقع الحالي

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

قاعدة الموقع المستنتجة

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

التوافق

قامت Microsoft بخدمة منطق معالجة تجزئة TBS ل CAs منتهية الصلاحية لجميع الأنظمة الأساسية المدعومة حيث يتم دعم التحكم في التطبيق وفقا للجدول التالي.

Windows OS	بدء هذا الإصدار والإصدارات اللاحقة
Windows Server 2025	13 مايو 2025 — KB5058411 (إصدار نظام التشغيل 26100.4061)
الإصدار 24H2 من Windows 11	25 أبريل 2025 — معاينة KB5055627 (إصدار نظام التشغيل 26100.3915)
Windows Server، الإصدار 23H2	13 مايو 2025 — KB5058384 (إصدار نظام التشغيل 25398.1611)
Windows 11، الإصدار 22H2 و23H2	22 أبريل 2025 — KB5055629 (نظام التشغيل 22621.5262 و22631.5262) معاينة
Windows Server 2022	13 مايو 2025 — KB5058385 (إصدار نظام التشغيل 20348.3692)
Windows 10، الإصداران 21H2 و22H2	13 مايو 2025 — KB5058379 (إصدارات نظام التشغيل 19044.5854 و19045.5854)
الإصدار 1809 من Windows 10 وWindows Server 2019	13 مايو 2025 — KB5058392 (إصدار نظام التشغيل 17763.7314)
Windows 10، الإصدار 1607 Windows Server 2016	13 مايو 2025 — KB5058383 (إصدار نظام التشغيل 14393.8066)

كيفية إلغاء الاشتراك

إذا كنت تريد إلغاء اشتراك أنظمتك من منطق استنتاج تجزئة TBS الذي يتم تنفيذه بواسطة التحكم في التطبيق، فقم بتعيين العلامة التالية في النهج: معطل: شهادة Windows الافتراضية

دعم Windows لمنطق معالجة المرجع المصدق الجديد ل Application Control for Business

مقدمة

Microsoft إصدار CAs

أمثلة على قاعدة الموقع

التوافق

كيفية إلغاء الاشتراك

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

هل كانت المعلومات مفيدة؟

نشكرك على ملاحظاتك!