Ursprüngliches Veröffentlichungsdatum: 20. Mai 2025
KB-ID: 5061682
Einführung
In diesem Artikel wird die neue Logik der Anwendungssteuerung für Unternehmen (früher windows Defender Application Control, WDAC) für Signaturgeberregeln beschrieben, bei denen ein TBS-Hashwert für eine Zwischenzertifizierungsstelle von Microsoft angegeben wird.
Von Microsoft ausgestellte Zertifizierungsstellen
Microsoft- und Windows-Komponenten werden von Untergeordneten Zertifikaten signiert, die hauptsächlich von sechs von Microsoft ausgestellten Zertifizierungsstellen ausgestellt werden. Ab Juli 2025 laufen diese 15-jährigen ausstellenden Zertifizierungsstellen gemäß dem folgenden Zeitplan ab.
|
Name der Zertifizierungsstelle |
TBS-Hash |
Ablaufdatum |
|
Microsoft Codesignatur PCA 2010 |
|
6. Juli 2025 |
|
Microsoft Windows PCA 2010 |
|
6. Juli 2025 |
|
Microsoft Codesignatur PCA 2011 |
|
8. Juli 2026 |
|
Windows Production PCA 2011 |
|
Dienstag, 19. Oktober 2026 |
|
Microsoft Windows Third Party Component CA 2012 |
|
18. April 2027 |
|
Name der Zertifizierungsstelle |
TBS-Hash |
|
Microsoft Code Signing PCA 2010 wird durch ersetzt |
|
|
Microsoft Windows Co signing PCA 2024 |
|
|
Microsoft Windows PCA 2010 wird durch ersetzt |
|
|
Microsoft Windows Component Preproduction CA 2024 |
|
|
Microsoft Code Signing PCA 2011 wird durch ersetzt |
|
|
Microsoft Codesignatur PCA 2024 |
|
|
Windows Production PCA 2011 wird durch ersetzt |
|
|
Windows Production PCA 2023 |
|
|
Microsoft Windows Third Party Component CA 2012 wird durch ersetzt |
|
|
Microsoft Windows Third Party Component CA 2024 |
|
Es wird zwar empfohlen, dass Anwendungssteuerungsrichtlinien, die Signierregeln mit TBS-Hashwerten enthalten, die in der obigen Tabelle aufgeführt sind, nicht so aktualisiert werden müssen, dass sie den von den neuen Zertifizierungsstellen 2023 und 2024 signierten Komponenten vertrauen. Die Anwendungssteuerung leitet automatisch die Vertrauensstellung der neuen Zertifizierungsstellen 2023 und 2024 und deren TBS-Hashwerte ab, wenn Ihre Richtlinie Regeln aufweist, die den aktuellen Zertifizierungsstellen vertrauen.
Wenn Ihre Richtlinie beispielsweise windows Production PCA 2011 mit der folgenden Regel vertraut, wird die Vertrauensstellung für die neue Windows Production PCA 2023 automatisch abgeleitet. Signerelemente wie CertEKU, CertPublisher, FileAttribRef und CertOemId bleiben in der Rückschlusslogik erhalten.
Beispiele für Signaturregel
Aktuelle Signaturgeberregel
|
Abgeleitete Signaturgeberregel
|
Die neue Verarbeitungslogik erstreckt sich auch auf Regeln zur Ablehnung von Signaturgebern in der Richtlinie. Wenn Sie also Komponenten verweigert haben, die von den vorhandenen Zertifizierungsstellen signiert wurden, werden diese Komponenten weiterhin verweigert, nachdem sie mit den neuen Zertifizierungsstellen 2023 und 2024 signiert wurden.
Aktuelle Signaturgeberregel
|
Abgeleitete Signaturgeberregel
|
Kompatibilität
Microsoft hat die TBS-Hashverarbeitungslogik für die ablaufenden Zertifizierungsstellen auf allen unterstützten Plattformen gewartet, auf denen die Anwendungssteuerung gemäß der folgenden Tabelle unterstützt wird.
|
Windows-Betriebssystem |
Ab diesem Release und späteren Versionen |
|
Windows Server 2025 |
|
|
Windows 11, Version 24H2 |
|
|
Windows Server, Version 23H2 |
|
|
Windows 11, Version 22H2 und 23H2 |
22. April 2025 – KB5055629 (OS 22621.5262 und 22631.5262) Vorschau |
|
Windows Server 2022 |
|
|
Windows 10, Versionen 21H2 und 22H2 |
13. Mai 2025 – KB5058379 (Betriebssystembuilds 19044.5854 und 19045.5854) |
|
Windows 10, Version 1809, und Windows Server 2019 |
|
|
Windows 10, Version 1607 und Windows Server 2016 |
So melden Sie sich ab
Wenn Sie Ihre Systeme von der von der Anwendungssteuerung ausgeführten LOGIK für TBS-Hashrückschlüsse deaktivieren möchten, legen Sie das folgende Flag in Richtlinien fest: Deaktiviert: Windows-Standardzertifikat
