Podrška za Windows za upravljanje aplikacijama za tvrtke nova logika upravljanja ca-om

Uvod

U članku se opisuje nova logika upravljanja aplikacijama za tvrtke (prijašnjeg naziva Windows Defender Application Control (WDAC)) za pravila potpisnik u kojoj je navedena vrijednost TBS raspršivanja za Microsoftovu posrednu ustanovu za izdavanje certifikata (CA).

Microsoftova nadležna tijela za izdavanje

Komponente microsofta i sustava Windows potpisane su certifikatima listova koje uglavnom izdaje šest Microsoftovih tijela za izdavanje certifikata. Počevši od srpnja 2025., tih 15-godišnjih tijela za izdavanje odobrenja za izdavanje počinju isteći prema sljedećem rasporedu.

NAZIV CA-a	TBS raspršivanje	Datum isteka
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	Srpanj 6, 2025
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	Srpanj 6, 2025
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	Srpanj 8, 2026
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19. listopada 2026.
Komponenta drugih proizvođača sustava Microsoft Windows CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18. travnja 2027.

Naziv ca	TBS raspršivanje
Microsoft Code Signing PCA 2010 zamijenjen je
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 zamijenjen je
Preprodukcija komponente sustava Microsoft Windows CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 zamijenjen je
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 zamijenjen je
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Komponenta drugih proizvođača sustava Microsoft Windows CA 2012 zamijenjena je
Komponenta drugih proizvođača sustava Microsoft Windows CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Iako se preporučuje, pravila kontrole aplikacija koja imaju pravila potpisnik s TBS hash vrijednostima navedenima u gornjoj tablici ne moraju se ažurirati da bi se komponente potpisane pomoću novih 2023 i 2024 CA-ova smatrali pouzdanima. Kontrola aplikacija automatski će odrediti pouzdanost novih CA-ova iz 2023. i 2024. i njihovih vrijednosti TBS raspršivanja ako vaš pravilnik ima pravila kojima se trenutni cA-i smatraju pouzdanima.

Ako, primjerice, pravilnik windows Production PCA 2011 smatra pouzdanim pomoću sljedećeg pravila, automatski će se zaključiti da je pouzdan za novi WINDOWS Production PCA 2023. Elementi potpisnika kao što su CertEKU, CertPublisher, FileAttribRef i CertOemId zadržavaju se u logici zaferenciranje.

Primjeri pravila potpisnik

Trenutno pravilo potpisnik

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Pravilo za prijavu s odgodom

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Nova logika rukovanja proširuje se i na odbijanje pravila potpisnik u pravilniku. Dakle, ako ste odbili komponente koje su potpisali postojeći CAs, te će komponente i dalje biti odbijene nakon što se potpisane s novim 2023 i 2024 CAs.

Trenutno pravilo potpisnik

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Pravilo za prijavu s odgodom

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Kompatibilnost

Microsoft je upravljao logikom upravljanja TBS raspršivanja za CA-ove koji istječe na svim podržanim platformama na kojima je aplikacija podržana u skladu sa sljedećom tablicom.

Windows OS	Početak ovog izdanja i novijih izdanja
Poslužitelj sustava Windows Server 2025	13. svibnja 2025. – KB5058411 (međuverzija OS-a 26100.4061)
Windows 11, verzija 24H2	25. travnja 2025. – KB5055627(međuverzija OS-a 26100.3915) Preview
Windows Server, verzija 23H2	13. svibnja 2025. – KB5058384 (međuverzija OS-a 25398.1611)
Windows 11, verzija 22H2 i 23H2	22. travnja 2025. – KB5055629 (OS 22621.5262 i 22631.5262) Preview
Windows Server 2022	13. svibnja 2025. – KB5058385 (međuverzija OS-a 20348.3692)
Windows 10, verzije 21H2 i 22H2	13. svibnja 2025. – KB5058379 (međuverzije OS-a 19044.5854 i 19045.5854)
Windows 10, verzija 1809 i Windows Server 2019	13. svibnja 2025. – KB5058392 (međuverzija OS-a 17763.7314)
Windows 10, verzija 1607 i Windows Server 2016	13. svibnja 2025. – KB5058383 (međuverzija OS-a 14393.8066)

Kako odustati

Ako želite isključiti sustave iz logike TBS raspršivanja koju izvodi kontrola aplikacija, postavite sljedeću zastavicu u pravilnicima: Onemogućeno: Zadani certifikat sustava Windows

Podrška za Windows za upravljanje aplikacijama za tvrtke nova logika upravljanja ca-om

Uvod

Microsoftova nadležna tijela za izdavanje

Primjeri pravila potpisnik

Kompatibilnost

Kako odustati

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Jesu li vam ove informacije bile korisne?

Hvala vam na povratnim informacijama!