Izvorni datum objave: 20. svibnja 2025.
KB ID: 5061682
Uvod
U članku se opisuje nova logika upravljanja aplikacijama za tvrtke (prijašnjeg naziva Windows Defender Application Control (WDAC)) za pravila potpisnik u kojoj je navedena vrijednost TBS raspršivanja za Microsoftovu posrednu ustanovu za izdavanje certifikata (CA).
Microsoftova nadležna tijela za izdavanje
Komponente microsofta i sustava Windows potpisane su certifikatima listova koje uglavnom izdaje šest Microsoftovih tijela za izdavanje certifikata. Počevši od srpnja 2025., tih 15-godišnjih tijela za izdavanje odobrenja za izdavanje počinju isteći prema sljedećem rasporedu.
|
NAZIV CA-a |
TBS raspršivanje |
Datum isteka |
|
Microsoft Code Signing PCA 2010 |
|
Srpanj 6, 2025 |
|
Microsoft Windows PCA 2010 |
|
Srpanj 6, 2025 |
|
Microsoft Code Signing PCA 2011 |
|
Srpanj 8, 2026 |
|
Windows Production PCA 2011 |
|
19. listopada 2026. |
|
Komponenta drugih proizvođača sustava Microsoft Windows CA 2012 |
|
18. travnja 2027. |
|
Naziv ca |
TBS raspršivanje |
|
Microsoft Code Signing PCA 2010 zamijenjen je |
|
|
Microsoft Windows Code Signing PCA 2024 |
|
|
Microsoft Windows PCA 2010 zamijenjen je |
|
|
Preprodukcija komponente sustava Microsoft Windows CA 2024 |
|
|
Microsoft Code Signing PCA 2011 zamijenjen je |
|
|
Microsoft Code Signing PCA 2024 |
|
|
Windows Production PCA 2011 zamijenjen je |
|
|
Windows Production PCA 2023 |
|
|
Komponenta drugih proizvođača sustava Microsoft Windows CA 2012 zamijenjena je |
|
|
Komponenta drugih proizvođača sustava Microsoft Windows CA 2024 |
|
Iako se preporučuje, pravila kontrole aplikacija koja imaju pravila potpisnik s TBS hash vrijednostima navedenima u gornjoj tablici ne moraju se ažurirati da bi se komponente potpisane pomoću novih 2023 i 2024 CA-ova smatrali pouzdanima. Kontrola aplikacija automatski će odrediti pouzdanost novih CA-ova iz 2023. i 2024. i njihovih vrijednosti TBS raspršivanja ako vaš pravilnik ima pravila kojima se trenutni cA-i smatraju pouzdanima.
Ako, primjerice, pravilnik windows Production PCA 2011 smatra pouzdanim pomoću sljedećeg pravila, automatski će se zaključiti da je pouzdan za novi WINDOWS Production PCA 2023. Elementi potpisnika kao što su CertEKU, CertPublisher, FileAttribRef i CertOemId zadržavaju se u logici zaferenciranje.
Primjeri pravila potpisnik
Trenutno pravilo potpisnik
|
Pravilo za prijavu s odgodom
|
Nova logika rukovanja proširuje se i na odbijanje pravila potpisnik u pravilniku. Dakle, ako ste odbili komponente koje su potpisali postojeći CAs, te će komponente i dalje biti odbijene nakon što se potpisane s novim 2023 i 2024 CAs.
Trenutno pravilo potpisnik
|
Pravilo za prijavu s odgodom
|
Kompatibilnost
Microsoft je upravljao logikom upravljanja TBS raspršivanja za CA-ove koji istječe na svim podržanim platformama na kojima je aplikacija podržana u skladu sa sljedećom tablicom.
|
Windows OS |
Početak ovog izdanja i novijih izdanja |
|
Poslužitelj sustava Windows Server 2025 |
|
|
Windows 11, verzija 24H2 |
25. travnja 2025. – KB5055627(međuverzija OS-a 26100.3915) Preview |
|
Windows Server, verzija 23H2 |
|
|
Windows 11, verzija 22H2 i 23H2 |
22. travnja 2025. – KB5055629 (OS 22621.5262 i 22631.5262) Preview |
|
Windows Server 2022 |
|
|
Windows 10, verzije 21H2 i 22H2 |
13. svibnja 2025. – KB5058379 (međuverzije OS-a 19044.5854 i 19045.5854) |
|
Windows 10, verzija 1809 i Windows Server 2019 |
|
|
Windows 10, verzija 1607 i Windows Server 2016 |
Kako odustati
Ako želite isključiti sustave iz logike TBS raspršivanja koju izvodi kontrola aplikacija, postavite sljedeću zastavicu u pravilnicima: Onemogućeno: Zadani certifikat sustava Windows