Windowsi tugi ettevõtete jaoks mõeldud rakendusekontrolli uue CA töötlusloogika jaoks

Sissejuhatus

Selles artiklis antakse ülevaade uuest rakendusekontrolli ettevõtteversioonist (varem Windows Defenderi rakendusekontroll (WDAC)) allkirjastajareeglite jaoks, kus on määratud Microsofti vaheserdikeskuse (CA) TBS-räsiväärtus.

Microsofti väljaandvad CAd

Microsofti ja Windowsi komponendid on allkirjastatud lehtsertidele, mille on väljastanud peamiselt kuus Microsofti väljaandvat CAd. Alates 2025. aasta juulist hakkavad need 15-aastased CAd aeguma vastavalt järgmisele ajakavale.

CA nimi	TBS räsi	Aegumiskuupäev
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6. juuli 2025
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6. juuli 2025
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8. juuli 2026
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19. oktoober 2026
Microsoft Windowsi kolmanda osapoole komponent CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18. aprill 2027

CA nimi	TBS räsi
Microsoft Code Signing PCA 2010 asendatakse järgmisega:
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 asendatakse järgmisega:
Microsoft Windowsi komponendi eeltootmis-CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 asendatakse järgmisega:
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 asendatakse järgmisega:
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windowsi kolmanda osapoole komponent CA 2012 asendatakse järgmisega:
Microsoft Windowsi kolmanda osapoole komponent CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Kuigi see on soovitatav, ei pea rakendusekontrolli poliitikaid, millel on ülaltoodud tabelis loetletud TBS-räsiväärtustega allkirjastaja reeglid, värskendama, et usaldada komponente, mis on allkirjastatud uute 2023. ja 2024. aasta CAde poolt. Rakendusekontroll tuletab automaatselt uute 2023 ja 2024 CAde ning nende TBS-i räsiväärtuste usalduse, kui teie poliitikal on reeglid praeguste icade usaldamiseks.

Näiteks kui teie poliitika usaldab Windows Production PCA 2011 järgmist reeglit kasutades, tuletatakse usaldus uue Windows Production PCA 2023 vastu automaatselt. Tuletamisloogikas säilitatakse allkirjastajaelemendid (nt CertEKU, CertPublisher, FileAttribRef ja CertOemId).

Allkirjastamisreegli näited

Praegune allkirjastajareegel

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Tuletatud allkirjastaja reegel

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Uus töötlusloogika laiendab ka allkirjastaja reeglite keelamist poliitikas. Seega, kui olete olemasolevate icade allkirjastatud komponendid tagasi lükanud, lükatakse need komponendid tagasi ka pärast nende allkirjastamist uute 2023. ja 2024. aasta CAdega.

Praegune allkirjastajareegel

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Tuletatud allkirjastaja reegel

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Ühilduvus

Microsoft on teenindanud aeguvate CAde TBS-i räsitöötlusloogikat kõigile toetatud platvormidele, kus rakenduse juhtimist toetatakse vastavalt järgmisele tabelile.

Windowsi versioon	Selle ja uuemate väljaannete alustamine
Windows Server 2025	13. mai 2025 – KB5058411 (operatsioonisüsteemi järk 26100.4061)
Windows 11, versioon 24H2	25. aprill 2025 – KB5055627(operatsioonisüsteemi järk 26100.3915) Preview
Windows Server, versioon 23H2	13. mai 2025 – KB5058384 (operatsioonisüsteemi järk 25398.1611)
Windows 11, versioon 22H2 ja 23H2	22. aprill 2025 – KB5055629 (OS 22621.5262 ja 22631.5262) Preview
Windows Server 2022	13. mai 2025 – KB5058385 (operatsioonisüsteemi järk 20348.3692)
Windows 10, versioonid 21H2 ja 22H2	13. mai 2025 – KB5058379 (operatsioonisüsteemi järgud 19044.5854 ja 19045.5854)
Windows 10 versioon 1809 ja Windows Server 2019	13. mai 2025 – KB5058392 (operatsioonisüsteemi järk 17763.7314)
Windows 10, versioon 1607 ja Windows Server 2016	13. mai 2025 – KB5058383 (operatsioonisüsteemi järk 14393.8066)

Loobumine

Kui soovite loobuda oma süsteemidest rakenduse juhtelemendi TBS-i räsiväärtuse tuletamise loogikast, määrake poliitikates järgmine lipp: keelatud: Windowsi vaikesert

Windowsi tugi ettevõtete jaoks mõeldud rakendusekontrolli uue CA töötlusloogika jaoks

Sissejuhatus

Microsofti väljaandvad CAd

Allkirjastamisreegli näited

Ühilduvus

Loobumine

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Kas sellest teabest oli abi?

Täname tagasiside eest!