Windows-tuki application control for Businessin uudelle varmenteiden myöntäjän käsittelylogiikalle

Johdanto

Artikkelissa esitellään uusi Sovellushallinta yrityksille (aiemmin Windows Defenderin sovellushallinta (WDAC)) -käsittelylogiikka allekirjoittajasäännöille, joissa määritetään Microsoftin välivarmenteiden myöntäjän TBS-hajautusarvo.

Microsoftin myöntävät CA:t

Microsoftin ja Windowsin osat allekirjoitetaan lehtivarmenteilla, jotka ovat pääasiassa kuuden Microsoftin myöntävän myöntäjän myöntämiä varmenteita. Heinäkuusta 2025 alkaen nämä 15 vuotta voimassa olevat myöntävät CA:t alkavat vanhentua seuraavan aikataulun mukaisesti.

Varmenteiden myöntäjän nimi	TBS-hajautusarvo	Vanhentumispäivä
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6. heinäkuuta 2025
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6. heinäkuuta 2025
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8. heinäkuuta 2026
Windows production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19. lokakuuta 2026
Microsoft Windowsin kolmannen osapuolen komponentti CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18. huhtikuuta 2027

Varmenteiden myöntäjän nimi	TBS-hajautusarvo
Microsoft Code Signing PCA 2010 korvataan
Microsoft Windows code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 on korvattu
Microsoft Windows -osan esituotanto CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 korvataan
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows production PCA 2011 on korvattu
Windows production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windowsin kolmannen osapuolen komponentti CA 2012 korvataan
Microsoft Windowsin kolmannen osapuolen komponentti CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Vaikka on suositeltavaa, sovellusten valvontakäytäntöjä, joissa on yllä olevassa taulukossa luetellut TBS-hajautusarvoja koskevat allekirjoittajasäännöt, ei tarvitse päivittää, jotta luotat uusien 2023- ja 2024-päivitysten allekirjoittamiin komponentteihin. Sovellusten hallinta johtaa automaattisesti uusien 2023- ja 2024-päivitysten ja niiden TBS-hajautusarvojen luottamukseen, jos käytäntösi säännöt luottavat nykyisiin CA:han.

Jos käytäntösi esimerkiksi luottaa Windows production PCA 2011:een seuraavan säännön avulla, luottamus uuteen Windows production PCA 2023:een päätetään automaattisesti. Allekirjoittajaelementit, kuten CertEKU, CertPublisher, FileAttribRef ja CertOemId, säilyvät päättelylogiikassa.

Esimerkkejä allekirjoittajan säännöstä

Nykyinen allekirjoittajasääntö

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Johdettu allekirjoittajasääntö

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Uusi käsittelylogiikka kattaa myös käytännön allekirjoittajasääntöjen hylkäämisen. Jos olet siis kieltänyt olemassa olevien CA:iden allekirjoittamat komponentit, nämä komponentit hylätään edelleen, kun ne on allekirjoitettu uusilla 2023- ja 2024-CA:illa.

Nykyinen allekirjoittajasääntö

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Johdettu allekirjoittajasääntö

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Yhteensopivuus

Microsoft on huoltanut TBS-hajautusarvojen käsittelylogiikan vanheneville CA-laitteille kaikkiin tuettuihin käyttöympäristöihin, joissa sovellusohjausta tuetaan seuraavan taulukon mukaisesti.

Windows OS	Tästä julkaisusta alkaen ja uudemmissa versioissa
Windows Server 2025	13. toukokuuta 2025 – KB5058411 (käyttöjärjestelmän koontiversio 26100.4061)
Windows 11, versio 24H2	25. huhtikuuta 2025 – KB5055627(käyttöjärjestelmän koontiversio 26100.3915) Preview
Windows Server, versio 23H2	13. toukokuuta 2025 – KB5058384 (käyttöjärjestelmän koontiversio 25398.1611)
Windows 11, versiot 22H2 ja 23H2	22. huhtikuuta 2025 – KB5055629 (käyttöjärjestelmän 22621.5262 ja 22631.5262) esikatselu
Windows Server 2022	13. toukokuuta 2025 – KB5058385 (käyttöjärjestelmän koontiversio 20348.3692)
Windows 10, versiot 21H2 ja 22H2	13. toukokuuta 2025 – KB5058379 (käyttöjärjestelmän koontiversiot 19044.5854 ja 19045.5854)
Windows 10, versio 1809 ja Windows Server 2019	13. toukokuuta 2025 – KB5058392 (käyttöjärjestelmän koontiversio 17763.7314)
Windows 10, versio 1607 ja Windows Server 2016	13. toukokuuta 2025 – KB5058383 (käyttöjärjestelmän koontiversio 14393.8066)

Kieltäytyminen

Jos haluat poistaa järjestelmät sovellushallinnan suorittamasta TBS-hajautusarvon päättelylogiikasta, määritä seuraava merkintä käytännöissä: Poissa käytöstä: Windowsin oletusvarmenne

Windows-tuki application control for Businessin uudelle varmenteiden myöntäjän käsittelylogiikalle

Johdanto

Microsoftin myöntävät CA:t

Esimerkkejä allekirjoittajan säännöstä

Yhteensopivuus

Kieltäytyminen

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Oliko näistä tiedoista hyötyä?

Kiitos palautteesta!