Supporto di Windows per la logica di gestione della nuova CA di Controllo applicazione per le aziende

Introduzione

L'articolo illustra la nuova logica di gestione di Controllo applicazioni per le aziende (in precedenza noto come Windows Defender Application Control (WDAC)) per le regole del firmatario in cui è specificato un valore hash TBS per un'autorità di certificazione intermedia (CA) Microsoft.

Ca microsoft che emette

I componenti Microsoft e Windows sono firmati da certificati foglia emessi principalmente da sei AUTORITÀ di emissione Microsoft. A partire da luglio 2025, queste CA di emissione di 15 anni iniziano a scadere in base al seguente programma.

121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195 

90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212

F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E

4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146

CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46

C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1

84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9

B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE

34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD

FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78

Anche se è consigliabile, non è necessario aggiornare i criteri di controllo dell'applicazione che hanno regole signer con valori hash TBS elencati nella tabella precedente per considerare attendibili i componenti firmati dalle nuove ca. 2023 e 2024. Controllo applicazione deduce automaticamente l'attendibilità delle nuove CA 2023 e 2024 e dei relativi valori hash tbs, se il criterio ha regole che considera attendibili le ca correnti.

Ad esempio, se il criterio considera attendibile Windows Production PCA 2011 usando la regola seguente, l'attendibilità per il nuovo PCA 2023 di Windows Production verrà dedotta automaticamente. Gli elementi firmatari come CertEKU, CertPublisher, FileAttribRef e CertOemId vengono mantenuti nella logica di deduzione. 

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer> 

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer> 

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Compatibilità

Microsoft ha gestito la logica di gestione dell'hash TBS per le CA in scadenza in tutte le piattaforme supportate in cui il controllo applicazione è supportato in base alla tabella seguente.

Come rifiutare esplicitamente

Se si vuole rifiutare esplicitamente ai sistemi la logica di inferenza dell'hash TBS eseguita da Controllo applicazione, impostare il flag seguente nei criteri: Disabilitato: Certificato windows predefinito

​​​​​​​