Původní datum publikování: 20. května 2025
ID znalostní báze: 5061682
Úvod
Tento článek popisuje novou logiku zpracování řízení aplikací pro firmy (dříve označovanou jako Řízení aplikací v programu Windows Defender (WDAC)) pro pravidla podepisující uživatele, kde je zadána hodnota hash TBS pro zprostředkující certifikační autoritu (CA) Společnosti Microsoft.
Vydávající certifikační autority Microsoftu
Komponenty Microsoftu a Windows jsou podepsané listovými certifikáty, které vydává hlavně šest certifikačních autorit microsoftu. Počínaje červencem 2025 vyprší platnost těchto 15letých certifikačních autorit pro vydávání podle následujícího plánu.
|
Název certifikační autority |
Hodnota hash TBS |
Datum ukončení platnosti |
|
Microsoft Code Signing PCA 2010 |
|
úterý 6. července 2025 |
|
Microsoft Windows PCA 2010 |
|
úterý 6. července 2025 |
|
Microsoft Code Signing PCA 2011 |
|
úterý 8. července 2026 |
|
Windows Production PCA 2011 |
|
úterý 19. října 2026 |
|
Microsoft Windows Third Party Component CA 2012 |
|
úterý 18. dubna 2027 |
|
Název certifikační autority |
Hodnota hash TBS |
|
Microsoft Code Signing PCA 2010 je nahrazen za |
|
|
Microsoft Windows Code Signing PCA 2024 |
|
|
Microsoft Windows PCA 2010 je nahrazeno |
|
|
Microsoft Windows Component Preproduction CA 2024 |
|
|
Microsoft Code Signing PCA 2011 je nahrazen za |
|
|
Microsoft Code Signing PCA 2024 |
|
|
Windows Production PCA 2011 se nahrazuje |
|
|
Windows Production PCA 2023 |
|
|
Microsoft Windows Third Party Component CA 2012 je nahrazeno za |
|
|
Microsoft Windows Third Party Component CA 2024 |
|
I když se zásady řízení aplikací, které obsahují pravidla podepisujícího uživatele s hodnotami hash TBS uvedenými ve výše uvedené tabulce, nemusí aktualizovat tak, aby důvěřovaly komponentám podepsaným novými certifikačními autoritami 2023 a 2024. Řízení aplikací automaticky odvodí vztah důvěryhodnosti nových certifikačních autorit 2023 a 2024 a jejich hodnot hash TBS, pokud vaše zásady mají pravidla, která důvěřují aktuálním certifikačním autoritám.
Pokud například vaše zásada důvěřuje sadě Windows Production PCA 2011 pomocí následujícího pravidla, bude důvěryhodnost pro novou sadu PCA 2023 ve Windows Production PCA 2023 automaticky odvozena. Prvky podepisujícího, jako jsou CertEKU, CertPublisher, FileAttribRef a CertOemId, se v logice odvozování zachovají.
Příklady pravidel podepisujícího
Aktuální pravidlo podepisujícího
|
Odvozené pravidlo podepisujícího
|
Nová logika zpracování se také vztahuje na pravidla odepřít podepisujícího v zásadách. Pokud jste tedy odepřeli komponenty podepsané stávajícími certifikačními autoritami, budou tyto komponenty po podepsání s novými certifikačními autoritami 2023 a 2024 nadále odepřeny.
Aktuální pravidlo podepisujícího
|
Odvozené pravidlo podepisujícího
|
Kompatibilita:
Microsoft obsluhoval logiku zpracování hodnot hash TBS pro certifikační autority, jejichž platnost vyprší, na všech podporovaných platformách, kde je podle následující tabulky podporováno řízení aplikací.
|
Windows OS |
Počínaje touto a novější verzí |
|
Windows Server 2025 |
13. května 2025 – KB5058411 (build operačního systému 26100.4061) |
|
Windows 11 verze 24H2 |
25. dubna 2025 – KB5055627 (build operačního systému 26100.3915) Preview |
|
Windows Server verze 23H2 |
13. května 2025 – KB5058384 (build operačního systému 25398.1611) |
|
Windows 11, verze 22H2 a 23H2 |
22. dubna 2025 – KB5055629 (OS 22621.5262 a 22631.5262) Preview |
|
Windows Server 2022 |
13. května 2025 – KB5058385 (build operačního systému 20348.3692) |
|
Windows 10 verze 21H2 a 22H2 |
13. května 2025 – KB5058379 (buildy operačního systému 19044.5854 a 19045.5854) |
|
Windows 10 verze 1809 a Windows Server 2019 |
13. května 2025 – KB5058392 (build operačního systému 17763.7314) |
|
Windows 10 verze 1607 a Windows Server 2016 |
13. května 2025 – KB5058383 (build operačního systému 14393.8066) |
Jak se odhlásit
Pokud chcete své systémy odhlásit z logiky odvozování hodnot hash TBS prováděné řízením aplikací, nastavte v zásadách následující příznak: Zakázáno: Výchozí certifikát Windows
