Soporte técnico de Windows para la nueva lógica de control de CA de Application Control para la Empresa

Introducción

En el artículo se describe la nueva lógica de control de control de aplicaciones de Control de aplicaciones para empresas (anteriormente conocido como Control de aplicaciones de Windows Defender (WDAC)) para las reglas del firmante cuando se especifica un valor hash TBS para una entidad de certificación de nivel intermedio (CA) de Microsoft.

Ca emisoras de Microsoft

Los componentes de Microsoft y Windows están firmados por certificados hoja emitidos principalmente por seis entidades emisoras de certificados de Microsoft. A partir de julio de 2025, estos AA emisores de 15 años comienzan a expirar según la siguiente programación.

Nombre de ca	Hash TBS	Fecha de expiración
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6 de julio de 2025
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6 de julio de 2025
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8 de julio de 2026
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19 de octubre de 2026
Microsoft Windows Third Party Component CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18 de abril de 2027

Nombre de entidad de certificación	Hash TBS
La firma de código de Microsoft PCA 2010 se reemplaza por
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 se reemplaza por
Microsoft Windows Component Preproduction CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
La firma de código de Microsoft PCA 2011 se reemplaza por
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 se reemplaza por
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
La CA de componentes de terceros de Microsoft Windows 2012 se reemplaza por
Microsoft Windows Third Party Component CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Aunque se recomienda, las directivas de control de aplicaciones que tienen reglas del firmante con valores hash TBS enumerados en la tabla anterior no necesitan actualizarse para confiar en los componentes firmados por los nuevos CA 2023 y 2024. Application Control deducirá automáticamente la confianza de los nuevos CA de 2023 y 2024, y sus valores hash TBS, si la directiva tiene reglas que confían en los CA actuales.

Por ejemplo, si la directiva confía en Windows Production PCA 2011 mediante la siguiente regla, se deducirá automáticamente la confianza para el nuevo PCA de producción de Windows 2023. Los elementos del firmante como CertEKU, CertPublisher, FileAttribRef y CertOemId se conservan en la lógica de inferencia.

Ejemplos de regla de firmante

Regla del firmante actual

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Regla del firmante inferido

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

La nueva lógica de control también se extiende para denegar las reglas del firmante en la directiva. Por lo tanto, si ha denegado los componentes firmados por los CA existentes, dichos componentes seguirán siendo denegados una vez que se hayan firmado con los nuevos CA de 2023 y 2024.

Regla del firmante actual

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Regla del firmante inferido

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Compatibilidad

Microsoft ha serviced the TBS hash handling logic for the expiring CAs to all supported platforms where Application Control is supported according to the following table.

SO Windows	A partir de esta versión y versiones posteriores
Windows Server 2025	13 de mayo de 2025: KB5058411 (compilación del SO 26100.4061)
Windows 11, versión 24H2	25 de abril de 2025: KB5055627 (compilación del SO 26100.3915) Preview
Windows Server, versión 23J2	13 de mayo de 2025: KB5058384 (compilación del SO 25398.1611)
Windows 11, versión 22H2 y 23H2	22 de abril de 2025: KB5055629 (SO 22621.5262 y 22631.5262) Preview
Windows Server 2022	13 de mayo de 2025: KB5058385 (compilación del SO 20348.3692)
Windows 10, versiones 21H2 y 22H2	13 de mayo de 2025: KB5058379 (compilaciones del SO 19044.5854 y 19045.5854)
Windows 10 versión 1809 y Windows Server 2019	13 de mayo de 2025: KB5058392 (compilación del SO 17763.7314)
Windows 10, versión 1607 y Windows Server 2016	13 de mayo de 2025: KB5058383 (compilación del SO 14393.8066)

Cómo optar por no participar

Si desea excluir los sistemas de la lógica de inferencia de hash TBS realizada por Application Control, establezca la siguiente marca en las directivas: Deshabilitada: Certificado de Windows predeterminado

Soporte técnico de Windows para la nueva lógica de control de CA de Application Control para la Empresa

Introducción

Ca emisoras de Microsoft

Ejemplos de regla de firmante

Compatibilidad

Cómo optar por no participar

¿Necesita más ayuda?

¿Quiere más opciones?

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!