Поддръжка на Windows за управление на приложения за бизнеса – нова логика за обработка на CA

Въведение

Статията описва новата логика за обработка на управлението на приложения за бизнеса (известна преди като "Управление на приложения в Windows Defender" (WDAC) за правила за подписващите, при които е зададена стойност за хеширане на TBS за междинен сертифициращ орган (CA) на Microsoft.

Издаващи CAS на Microsoft

Компонентите на Microsoft и Windows са подписани със сертификати на листа, издадени главно от шест сертифициращи органи на Microsoft. Започвайки от юли 2025 г., тези 15-годишни издаващи CAS започват да изтичат съгласно следния график.

Име на CA	TBS хеш	Дата на изтичане на срока
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6 юли 2025 г.
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6 юли 2025 г.
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8 юли 2026 г.
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19 октомври 2026 г.
Microsoft Windows Компонент на трето лице CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18 април 2027 г.

Име на CA	TBS хеш
Microsoft Code Signing PCA 2010 се заменя с
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 се заменя с
Предпроизношение на компонент на Microsoft Windows CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 се заменя с
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 се заменя с
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Компонент на Microsoft Windows компонент CA 2012 се заменя с
Microsoft Windows Компонент на трето лице CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Въпреки че е препоръчително, правилата за управление на приложения, които имат правила за подписващи със стойности за хеширане на TBS, изброени в таблицата по-горе, не е необходимо да се актуализират, за да се доверяват на компонентите, подписани от новите CAS за 2023 и 2024 г. Управлението на приложения автоматично ще определи доверието на новите 2023 и 2024 CAs и техните стойности на хеширане на TBS, ако вашите правила имат правила, които се доверяват на текущите CAs.

Например ако вашите правила се доверяват на Windows Production PCA 2011 с помощта на следното правило, доверяване за новия Windows Production PCA 2023 ще бъде автоматично подсказано. Подписващите елементи, като CertEKU, CertPublisher, FileAttribRef и CertOemId, се запазват в логиката на подсляване.

Примери за правило за подписващ

Правило на текущия подписващ

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Подсказано правило за подписващ

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Новата логика за обработка също така се разширява, за да откаже правила на подписващия в правилата. Така че, ако сте отказали компоненти, подписани от съществуващите CAs, тези компоненти ще продължат да бъдат отказвани, след като са подписани с новите ОЕ от 2023 г. и 2024 г.

Правило на текущия подписващ

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Подсказано правило за подписващ

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Съвместимост

Microsoft обслужи логиката за обработка на хеширането на TBS за изтичащите CAs на всички поддържани платформи, където се поддържа управление на приложения в съответствие със следващата таблица.

ОС на Windows	Начало на това издание и по-нови издания
Windows Server 2025	13 май 2025 г. – KB5058411 (компилация на ОС 26100.4061)
Windows 11, версия 24H2	25 април 2025 г. – KB5055627 (компилация на ОС 26100.3915) (предварителен преглед)
Windows Server, версия 23H2	13 май 2025 г. – KB5058384 (компилация на ОС 25398.1611)
Windows 11, версия 22H2 и 23H2	22 април 2025 г. – KB5055629 (ОС 22621.5262 и 22631.5262) Предварителен преглед
Windows Server 2022	13 май 2025 г. – KB5058385 (компилация на ОС 20348.3692)
Windows 10, версии 21H2 и 22H2	13 май 2025 г. – KB5058379 (компилации на ОС 19044.5854 и 19045.5854)
Windows 10, версия 1809 и Windows Server 2019	13 май 2025 г. – KB5058392 (компилация на ОС 17763.7314)
Windows 10, версия 1607 и Windows Server 2016	13 май 2025 г. – KB5058383 (компилация на ОС 14393.8066)

Как да се отпишете

Ако искате да изключите вашите системи от логиката за хеширане на TBS, извършвана от управлението на приложението, задайте следния флаг в правилата: Дезактивиран: Сертификат по подразбиране за Windows

Поддръжка на Windows за управление на приложения за бизнеса – нова логика за обработка на CA

Въведение

Издаващи CAS на Microsoft

Примери за правило за подписващ

Съвместимост

Как да се отпишете

Нуждаете ли се от още помощ?

Искате ли още опции?

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!