원래 게시 날짜: 2025년 5월 20일
KB ID: 5061682
소개
이 문서에서는 Microsoft CA(중간 인증 기관)에 대한 TBS 해시 값이 지정된 서명자 규칙에 대한 새 비즈니스 용 애플리케이션 제어(이전의 WDAC(Windows Defender Application Control)) 처리 논리를 간략하게 설명합니다.
Microsoft 발급 CA
Microsoft 및 Windows 구성 요소는 주로 6개의 Microsoft 발급 CA에서 발급한 리프 인증서로 서명됩니다. 2025년 7월부터 이러한 15년 발급 CA는 다음 일정에 따라 만료되기 시작합니다.
|
CA 이름 |
TBS 해시 |
만료 날짜 |
|
Microsoft Code Signing PCA 2010 |
|
2025년 7월 6일 |
|
Microsoft Windows PCA 2010 |
|
2025년 7월 6일 |
|
Microsoft Code Signing PCA 2011 |
|
2026년 7월 8일 |
|
Windows 프로덕션 PCA 2011 |
|
2026년 10월 19일 |
|
Microsoft Windows 타사 구성 요소 CA 2012 |
|
2027년 4월 18일 |
|
CA 이름 |
TBS 해시 |
|
Microsoft Code Signing PCA 2010이 로 대체됨 |
|
|
Microsoft Windows Code 서명 PCA 2024 |
|
|
Microsoft Windows PCA 2010이 로 대체됨 |
|
|
Microsoft Windows 구성 요소 사전 프로덕션 CA 2024 |
|
|
Microsoft Code Signing PCA 2011이 로 대체됨 |
|
|
Microsoft Code Signing PCA 2024 |
|
|
Windows 프로덕션 PCA 2011 이 로 대체됨 |
|
|
Windows 프로덕션 PCA 2023 |
|
|
Microsoft Windows 타사 구성 요소 CA 2012 가 로 대체됨 |
|
|
Microsoft Windows 타사 구성 요소 CA 2024 |
|
권장되지만 위의 표에 TBS 해시 값이 나열된 서명자 규칙이 있는 Application Control 정책은 새 2023 및 2024 CA에서 서명한 구성 요소를 신뢰하도록 업데이트할 필요가 없습니다. 애플리케이션 제어는 정책에 현재 CA를 신뢰하는 규칙이 있는 경우 새 2023 및 2024 CA 및 해당 TBS 해시 값을 자동으로 유추합니다.
예를 들어 정책이 다음 규칙을 사용하여 Windows 프로덕션 PCA 2011을 신뢰하는 경우 새 Windows 프로덕션 PCA 2023에 대한 신뢰가 자동으로 유추됩니다. CertEKU, CertPublisher, FileAttribRef 및 CertOemId와 같은 서명자 요소는 추론 논리에 유지됩니다.
서명자 규칙 예제
현재 서명자 규칙
|
유추된 서명자 규칙
|
또한 새 처리 논리는 정책에서 서명자 규칙을 거부하도록 확장됩니다. 따라서 기존 CA에서 서명한 구성 요소를 거부한 경우 해당 구성 요소는 새 2023 및 2024 CA로 서명되면 계속 거부됩니다.
현재 서명자 규칙
|
유추된 서명자 규칙
|
호환성
Microsoft는 다음 표에 따라 애플리케이션 제어가 지원되는 지원되는 모든 플랫폼에 만료되는 CA에 대한 TBS 해시 처리 논리를 처리했습니다.
|
Windows OS |
이 릴리스 및 이후 릴리스 시작 |
|
Windows Server 2025 |
|
|
Windows 11 버전 24H2 |
|
|
Windows Server 버전 23H2 |
|
|
Windows 11, 버전 22H2 및 23H2 |
|
|
Windows Server 2022 |
|
|
Windows 10, 버전 21H2 및 22H2 |
|
|
Windows 10 버전 1809 및 Windows Server 2019 |
|
|
Windows 10, 버전 1607 및 Windows Server 2016 |
옵트아웃하는 방법
애플리케이션 제어에서 수행하는 TBS 해시 추론 논리에서 시스템을 옵트아웃하려면 정책에서 다음 플래그를 설정합니다. 사용 안 함: 기본 Windows 인증서
