適用先Windows 10 Windows 11

元の発行日: 2025 年 5 月 20 日

KB ID: 5061682

概要

この記事では、Microsoft 中間証明機関 (CA) の TBS ハッシュ値が指定されている署名者ルールの新しい Application Control for Business (旧称 Windows Defender Application Control (WDAC)) 処理ロジックについて説明します。

Microsoft Issuing CA

Microsoft および Windows コンポーネントは、主に 6 つの Microsoft 発行元 CA によって発行されたリーフ証明書によって署名されます。 2025 年 7 月以降、これらの 15 年間の発行元 CA の有効期限は、次のスケジュールに従って開始されます。

CA 名

TBS ハッシュ

有効期限

Microsoft Code Signing PCA 2010

 
121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195

2025 年 7 月 6 日

Microsoft Windows PCA 2010

 
90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212

2025 年 7 月 6 日

Microsoft Code Signing PCA 2011

 
F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E

2026 年 7 月 8 日

Windows 運用 PCA 2011

 
4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146

2026 年 10 月 19 日

Microsoft Windows サード パーティ コンポーネント CA 2012

 
CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46

2027 年 4 月 18 日

推奨されますが、上記の表に示した TBS ハッシュ値を持つ署名者ルールを持つアプリケーション制御ポリシーは、新しい 2023 および 2024 CA によって署名されたコンポーネントを信頼するように更新する必要はありません。 アプリケーション制御は、ポリシーに現在の CA を信頼する規則がある場合、新しい 2023 および 2024 CA とその TBS ハッシュ値の信頼を自動的に推論します。

たとえば、ポリシーが次の規則を使用して Windows Production PCA 2011 を信頼している場合、新しい Windows Production PCA 2023 の信頼が自動的に推論されます。 CertEKU、CertPublisher、FileAttribRef、CertOemId などの署名者要素は推論ロジックに保持されます。 

署名者ルールの例

現在の署名者ルール 

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

推定署名者ルール 

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

新しい処理ロジックは、ポリシーの署名者ルールを拒否するためにも拡張されます。 そのため、既存の CA によって署名されたコンポーネントを拒否した場合、新しい 2023 および 2024 CA で署名されたコンポーネントは引き続き拒否されます。 

[互換性]

Microsoft は、次の表に従って、アプリケーション制御がサポートされているすべてのサポートされているプラットフォームに対して、期限切れの CA の TBS ハッシュ処理ロジックを処理しています。

Windows OS 

このリリース以降のリリースを開始する

Windows Server 2025 

2025 年 5 月 13 日 — KB5058411 (OS ビルド 26100.4061)

Windows 11 バージョン 24H2 

2025 年 4 月 25 日 — KB5055627(OS ビルド 26100.3915) プレビュー

Windows Server、バージョン 23H2 

2025 年 5 月 13 日 — KB5058384 (OS ビルド 25398.1611)

Windows 11バージョン 22H2 および 23H2

2025 年 4 月 22 日 — KB5055629 (OS 22621.5262 および 22631.5262) プレビュー

Windows Server 2022 

2025 年 5 月 13 日 — KB5058385 (OS ビルド 20348.3692)

Windows 10、バージョン 21H2 および 22H2 

2025 年 5 月 13 日 — KB5058379 (OS ビルド 19044.5854 および 19045.5854)

Windows 10 Version 1809 および Windows Server 2019 

2025 年 5 月 13 日 — KB5058392 (OS ビルド 17763.7314)

Windows 10 バージョン 1607 および Windows Server 2016  

2025 年 5 月 13 日 — KB5058383 (OS ビルド 14393.8066)

オプトアウトする方法

アプリケーション制御によって実行される TBS ハッシュ推論ロジックからシステムをオプトアウトする場合は、ポリシーで次のフラグを設定します。無効: 既定の Windows 証明書

​​​​​​​

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター