Υποστήριξη των Windows για τη νέα λογική χειρισμού CA του Application Control for Business

Εισαγωγή

Το άρθρο περιγράφει τη νέα λογική χειρισμού του Στοιχείου ελέγχου εφαρμογής για επιχειρήσεις (παλαιότερα γνωστό ως Έλεγχος εφαρμογών Windows Defender (WDAC)) για τους κανόνες υπογράφοντα, όπου έχει καθοριστεί μια τιμή κατακερματίσματος TBS για μια αρχή ενδιάμεσων πιστοποιητικών της Microsoft (CA).

Έκδοση CAs από τη Microsoft

Τα στοιχεία της Microsoft και των Windows υπογράφονται με πιστοποιητικά φύλλων που εκδίδονται κυρίως από έξι CAs έκδοσης της Microsoft. Ξεκινώντας από τον Ιούλιο του 2025, αυτές οι 15ετής εκδόσεις CAs αρχίζουν να λήγουν σύμφωνα με το ακόλουθο χρονοδιάγραμμα.

121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195 

90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212

F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E

4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146

CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46

C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1

84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9

B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE

34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD

FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78

Παρόλο που συνιστάται, οι πολιτικές ελέγχου εφαρμογών που έχουν κανόνες υπογραφής με τιμές κατακερματισμένων TBS που παρατίθενται στον παραπάνω πίνακα δεν χρειάζεται να ενημερωθούν ώστε να θεωρούνται αξιόπιστα τα στοιχεία που έχουν υπογραφεί από τις νέες CAs του 2023 και του 2024. Το Στοιχείο ελέγχου εφαρμογής θα συνάγει αυτόματα την αξιοπιστία των νέων CAs του 2023 και του 2024 και των τιμών κατακερματισμού TBS, εάν η πολιτική σας έχει κανόνες που εμπιστεύονται τις τρέχουσες CAs.

Για παράδειγμα, αν η πολιτική σας εμπιστεύεται το PCA Παραγωγής Windows 2011 χρησιμοποιώντας τον παρακάτω κανόνα, η αξιοπιστία για το νέο PCA Παραγωγής Windows 2023 θα συναχθεί αυτόματα. Στοιχεία υπογράφοντα, όπως τα CertEKU, CertPublisher, FileAttribRef και CertOemId, διατηρούνται στη λογική της διάσκεψης. 

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer> 

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer> 

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Συμβατότητα

Η Microsoft έχει συντηρήσει τη λογική χειρισμού κατακερμασίων TBS για τις CAs που λήγουν σε όλες τις υποστηριζόμενες πλατφόρμες όπου ο Έλεγχος εφαρμογών υποστηρίζεται σύμφωνα με τον παρακάτω πίνακα.

Πώς να εξαιρεθείτε

Εάν θέλετε να εξαιρέσετε τα συστήματά σας από τη λογική διάσκεψης κατακερματισμού TBS που εκτελείται από το Στοιχείο ελέγχου εφαρμογής, ορίστε την ακόλουθη σημαία στις πολιτικές: Απενεργοποιημένο: Προεπιλεγμένο πιστοποιητικό των Windows

​​​​​​​