חל על
Windows 10 Windows 11

תאריך פרסום מקורי: (20 מאי 2025, 2025)

מזהה KB: 5061682

מבוא

המאמר מתאר את פקד היישומים החדש לעסקים (שנקרא בעבר בקרת אפליקציות של Windows Defender (WDAC)) לטיפול בלוגיקה עבור כללי חותם שבהם צוין ערך Hash של TBS עבור רשות אישורים (CA) בינונית של Microsoft.

Microsoft הנפקת AS

רכיבי Microsoft ו- Windows חתומים על-ידי אישורי עלה שהונפקו בעיקר על-ידי שישה תעודות הנפקה של Microsoft. החל מיולי 2025, התוקף של 15 תיבות האישורים הנפקות מתחיל לפוג בהתאם ללוח הזמנים הבא.

שם רשות אישורים

קוד Hash של TBS

תאריך תפוגה

Microsoft Code Signing PCA 2010

 
121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195

ה-6 ביולי 2025

Microsoft Windows PCA 2010

 
90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212

ה-6 ביולי 2025

Microsoft Code Signing PCA 2011

 
F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E

ה-8 ביולי 2026

Windows Production PCA 2011

 
4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146

ה-19 באוקטובר 2026

Microsoft Windows Third Party Component CA 2012

 
CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46

ה-18 באפריל 2027

מומלץ, אך אין צורך לעדכן פריטי מדיניות של בקרת יישומים הכוללים כללי חותם עם ערכי Hash של TBS המפורטים בטבלה שלעיל כדי לתת אמון ברכיבים החתמו על-ידי ה- CAs החדשים של 2023 ו- 2024. בקרת היישום תסיק באופן אוטומטי את האמון ב- 2023 וב- 2024 ה- CAs החדשים, בערכי Hash של TBS, אם המדיניות שלך כוללת כללים הונותנים אמון ב- CAs הנוכחי.

לדוגמה, אם המדיניות שלך סומכת על Windows Production PCA 2011 באמצעות הכלל הבא, המערכת תסיק אמון עבור Windows Production PCA 2023 החדש באופן אוטומטי. רכיבי חותם כגון CertEKU, CertPublisher, FileAttribRef ו- CertOemId נשמרים בלוגיקה המסיקה. 

דוגמאות לכלל החותם

כלל חותם נוכחי 

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

כלל חותם נגזר 

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

לוגיקת הטיפול החדשה מתרחבת גם כדי למנוע כללי חותם במדיניות. לכן, אם דחית את הרכיבים החתמו על-ידי ה- CAs הקיימים, רכיבים אלה ימשיכו להדחה ברגע שהם ייחתמו עם ה- CAs החדשים של 2023 ו- 2024. 

תאימות

Microsoft טיפלה בלוגיקה של טיפול ב- Hash של TBS עבור ה- CAs שתוקפו פג בכל הפלטפורמות הנתמכות שבהן בקרת יישומים נתמכת בהתאם לטבלה הבאה.

Windows OS 

מתחיל מהדורה זו ומהדורות מתקדמות יותר

Windows Server 2025 

13 במאי 2025 - KB5058411 (גירסת Build של מערכת ההפעלה 26100.4061)

Windows 11, גרסה 24H2 

25 באפריל 2025 — KB5055627(גירסת Build של מערכת ההפעלה 26100.3915) Preview

Windows Server, גירסה 23H2 

13 במאי 2025 - KB5058384 (גירסת Build של מערכת ההפעלה 25398.1611)

Windows 11, גירסה 22H2 ו- 23H2

22 באפריל 2025 - גירסת KB5055629 (OS 22621.5262 ו- 22631.5262) תצוגה מקדימה

Windows Server 2022 

13 במאי 2025 - KB5058385 (גירסת Build של מערכת ההפעלה 20348.3692)

Windows 10, גירסאות 21H2 ו- 22H2 

13 במאי 2025 - KB5058379 (גירסאות Build 19044.5854 ו- 19045.5854 של מערכת ההפעלה)

Windows 10, גירסה 1809 ו- Windows Server 2019 

13 במאי 2025 - KB5058392 (גירסת Build 17763.7314 של מערכת ההפעלה)

Windows 10, גירסה 1607 Windows Server 2016  

13 במאי 2025 - KB5058383 (גירסת Build 14393.8066 של מערכת ההפעלה)

כיצד לבטל את ההצטרפות

אם ברצונך לבטל את הצטרפות המערכות שלך ל- Hash של TBS המסיק ללוגיקה שבוצעה על-ידי בקרת היישום, הגדר את הדגל הבא במדיניות: לא זמין: אישור ברירת מחדל של Windows

​​​​​​​

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות