Windows-understøttelse af den nye nøglecenterhåndteringslogik til Application Control for Business

Introduktion

Artiklen beskriver den nye håndteringslogik for Application Control for Business (tidligere kaldet Windows Defender Application Control (WDAC) for signerregler, hvor der er angivet en TBS-hashværdi for et Mellemliggende Microsoft-nøglecenter.

Microsoft-udstedende CA'er

Microsoft- og Windows-komponenter er signeret med bladcertifikater, der hovedsageligt er udstedt af seks udstedende Microsoft-myndigheder. Fra og med juli 2025 begynder disse 15-årige udstedelsesmyndigheder at udløbe efter følgende tidsplan.

Navn på nøglecenter	TBS-hash	Udløbsdato
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6. juli 2025
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6. juli 2025
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8. juli 2026
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19. oktober 2026
Microsoft Windows Third Party Component CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18. april 2027

Navn på nøglecenter	TBS-hash
Microsoft Code Signing PCA 2010 erstattes med
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 erstattes med
Microsoft Windows Component-præproduktion CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 erstattes med
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 erstattes med
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windows Third Party Component CA 2012 erstattes med
Microsoft Windows Third Party Component CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Selvom det anbefales, behøver politikker for programkontrol, der har signerregler med TBS-hashværdier, der er angivet i tabellen ovenfor, ikke at blive opdateret for at have tillid til de komponenter, der er signeret af de nye 2023- og 2024-godkendelsesprogrammer. Programkontrol udleder automatisk tillid til de nye 2023- og 2024-godkendelsesprogrammer og deres TBS-hashværdier, hvis din politik har regler, der har tillid til de aktuelle godkendelsesmyndigheder.

Hvis din politik f.eks. har tillid til Windows Production PCA 2011 ved hjælp af følgende regel, udledes der automatisk tillid til den nye Windows Production PCA 2023. Signer-elementer som CertEKU, CertPublisher, FileAttribRef og CertOemId bevares i inferencing-logikken.

Eksempler på signerregel

Regel for aktuel underskriver

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Udledt underskriverregel

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Den nye håndteringslogik omfatter også afvis regler for underskriver i politikken. Så hvis du har nægtet komponenter, der er signeret af de eksisterende CAs, vil disse komponenter fortsat blive nægtet, når de er signeret med de nye 2023- og 2024-CAs.

Regel for aktuel underskriver

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Udledt underskriverregel

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Kompatibilitet

Microsoft har serviceret TBS-hashhåndteringslogikken for de udløbne CAs til alle understøttede platforme, hvor Application Control understøttes i henhold til følgende tabel.

Windows OS	Fra og med denne version og nyere versioner
Windows Server 2025	13. maj 2025 – KB5058411 (OS-build 26100.4061)
Windows 11, version 24H2	25. april 2025 – KB5055627(OS Build 26100.3915) Preview
Windows Server, version 23H2	13. maj 2025 – KB5058384 (OS-build 25398.1611)
Windows 11, version 22H2 og 23H2	22. april 2025 – KB5055629 (OS 22621.5262 og 22631.5262) Preview
Windows Server 2022	13. maj 2025 – KB5058385 (OS-build 20348.3692)
Windows 10, version 21H2 og 22H2	13. maj 2025 – KB5058379 (OS-builds 19044.5854 og 19045.5854)
Windows 10, version 1809 og Windows Server 2019	13. maj 2025 – KB5058392 (OS-build 17763.7314)
Windows 10, version 1607 og Windows Server 2016	13. maj 2025 – KB5058383 (OS-build 14393.8066)

Sådan fravælger du

Hvis du vil fravælge dine systemer fra TBS-hash-inferencing-logikken, der udføres af Programkontrol, skal du angive følgende flag i politikker: Deaktiveret: Windows-standardcertifikat

Windows-understøttelse af den nye nøglecenterhåndteringslogik til Application Control for Business

Introduktion

Microsoft-udstedende CA'er

Eksempler på signerregel

Kompatibilitet

Sådan fravælger du

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Var disse oplysninger nyttige?

Tak for din feedback!