S’applique àWindows 10 Windows 11

Date de publication d’origine : 20 mai 2025

ID de la base de connaissances : 5061682

Introduction

L’article décrit la nouvelle logique de gestion d’Application Control for Business (anciennement windows Defender Application Control (WDAC)) pour les règles de signataire où une valeur de hachage TBS pour une autorité de certification intermédiaire (CA) Microsoft est spécifiée.

Autorités de certification émettrices Microsoft

Les composants Microsoft et Windows sont signés par des certificats feuille émis principalement par six autorités de certification émettrices Microsoft. À compter de juillet 2025, ces autorités de certification émettrices de 15 ans commencent à expirer selon le calendrier suivant.

Nom de l’autorité de certification

Hachage TBS

Date d’expiration

Signature de code Microsoft PCA 2010

 
121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195

6 juillet 2025

Microsoft Windows PCA 2010

 
90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212

6 juillet 2025

Microsoft Code Signing PCA 2011

 
F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E

8 juillet 2026

Windows Production PCA 2011

 
4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146

19 octobre 2026

Microsoft Windows Third Party Component CA 2012

 
CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46

18 avril 2027

Bien qu’il soit recommandé, les stratégies de contrôle d’application qui ont des règles de signataire avec des valeurs de hachage TBS répertoriées dans le tableau ci-dessus n’ont pas besoin d’être mises à jour pour approuver les composants signés par les nouvelles autorités de certification 2023 et 2024. Application Control déduit automatiquement l’approbation des nouvelles autorités de certification 2023 et 2024, ainsi que de leurs valeurs de hachage TBS, si votre stratégie a des règles d’approbation des autorités de certification actuelles.

Par exemple, si votre stratégie approuve Windows Production PCA 2011 à l’aide de la règle suivante, l’approbation pour le nouveau PCA de production Windows 2023 sera automatiquement déduite. Les éléments signataires tels que CertEKU, CertPublisher, FileAttribRef et CertOemId sont conservés dans la logique d’inférence. 

Exemples de règle de signataire

Règle de signataire actuelle 

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Règle de signataire déduite 

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

La nouvelle logique de gestion s’étend également au refus des règles de signataire dans la stratégie. Par conséquent, si vous avez refusé des composants signés par les autorités de certification existantes, ces composants continueront à être refusés une fois qu’ils sont signés avec les nouvelles autorités de certification 2023 et 2024. 

Compatibilité

Microsoft a géré la logique de gestion de hachage TBS pour les autorités de certification arrivant à expiration sur toutes les plateformes prises en charge où Application Control est pris en charge conformément au tableau suivant.

SE Windows 

À partir de cette version et des versions ultérieures

Windows Server 2025 

13 mai 2025 – KB5058411 (build du système d’exploitation 26100.4061)

Windows 11, version 24H2 

25 avril 2025 — KB5055627(build du système d’exploitation 26100.3915) Préversion

Windows Server, version 23H2 

13 mai 2025 – KB5058384 (build du système d’exploitation 25398.1611)

Windows 11, version 22H2 et 23H2

22 avril 2025 – KB5055629 (OS 22621.5262 et 22631.5262) Préversion

Windows Server 2022 

13 mai 2025 – KB5058385 (build du système d’exploitation 20348.3692)

Windows 10, versions 21H2 et 22H2 

13 mai 2025 – KB5058379 (builds du système d’exploitation 19044.5854 et 19045.5854)

Windows 10 version 1809 et Windows Server 2019 

13 mai 2025 – KB5058392 (build du système d’exploitation 17763.7314)

Windows 10, version 1607 et Windows Server 2016  

13 mai 2025 — KB5058383 (build du système d’exploitation 14393.8066)

Comment refuser

Si vous souhaitez exclure vos systèmes de la logique d’inférence de hachage TBS effectuée par le contrôle d’application, définissez l’indicateur suivant dans stratégies : Désactivé : Certificat Windows par défaut

​​​​​​​

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité