A Vállalati alkalmazásvezérlés új hitelesítésszolgáltatói kezelési logikájának Windows-támogatása

Bevezetés

A cikk ismerteti az új vállalati alkalmazásvezérlést (korábbi nevén Windows Defender alkalmazásvezérlőt (WDAC)) az aláíró szabályokhoz, ahol egy köztes Microsoft-hitelesítésszolgáltató (CA) TBS-kivonatértéke van megadva.

Microsoft kiállító hitelesítésszolgáltatók

A Microsoft és a Windows összetevőit főként hat Microsoft kiállító hitelesítésszolgáltató által kiállított levéltanúsítványok írják alá. 2025 júliusától ezek a 15 éves kiállító hitelesítésszolgáltatók az alábbi ütemezés szerint lejárnak.

121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195 

90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212

F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E

4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146

CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46

C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1

84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9

B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE

34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD

FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78

Bár ajánlott, az olyan alkalmazásvezérlési szabályzatokat, amelyek a fenti táblázatban felsorolt TBS-kivonatértékekkel rendelkező aláírói szabályokkal rendelkeznek, nem kell frissíteni, hogy megbízzanak az új 2023-ban és 2024-ben aláírt összetevőkben. Az alkalmazásvezérlés automatikusan megbízhatónak minősíti az új 2023-ban és 2024-ben létrehozott hitelesítésszolgáltatókat és azok TBS-kivonatértékeit, ha a szabályzat szabályai megbízhatónak minősítik az aktuális hitelesítésszolgáltatókat.

Ha például a szabályzat a következő szabály használatával bízik meg a Windows production PCA 2011-ben, a rendszer automatikusan az új Éles Windows PCA 2023 megbízhatósági kapcsolatot fogja kikövetkeztetni. Az aláíró elemek, például a CertEKU, a CertPublisher, a FileAttribRef és a CertOemId megmaradnak a következtetési logikában. 

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer> 

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer> 

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Kompatibilitás

A Microsoft a lejáró ca-k TBS-kivonatkezelési logikáját az összes olyan támogatott platformon kiszolgálta, ahol az alkalmazásvezérlés támogatott az alábbi táblázat szerint.

A lemondás menete

Ha ki szeretné választani a rendszereit az Alkalmazásvezérlés által végrehajtott TBS-kivonatoló következtetési logikából, állítsa be a következő jelzőt a szabályzatokban: Letiltva: Alapértelmezett Windows-tanúsítvány

​​​​​​​