Windows atbalsts lietojumprogrammu kontrolei uzņēmumiem— jaunā CA apstrādes loģika

Ievads

Rakstā ir izklāstīta jaunā lietojumprogrammu vadības darbam (iepriekš zināms kā Windows Defender lietojumprogrammu vadība (WDAC)) apstrādes loģika parakstītāja kārtulām, kur ir norādīta Microsoft sertificēšanas iestādes (CA) TBS jaukšanas vērtība.

Microsoft Izsniegšanas CAs

Microsoft un Windows komponenti ir parakstīti ar lapu sertifikātiem, kurus galvenokārt izsniedz sešas Microsoft izsniegšanas datu lapas. Sākot no 2025. gada jūlija, šo 15 gadu izsniegšanas DATU derīgums sākas saskaņā ar šo grafiku.

CA nosaukums	TBS jaukšanash	Beigu datums
Microsoft kodu parakstīšana PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	2025. gada 6. jūlijs
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	2025. gada 6. jūlijs
Microsoft koda parakstīšana PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	2026. gada 8. jūlijs
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	2026. gada 19. oktobris
Microsoft Windows trešās puses komponents CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	2027. gada 18. aprīlis

CA nosaukums	TBS jaukšanash
Microsoft koda parakstīšanas PCA 2010 ir aizstāta ar
Microsoft Windows koda parakstīšana PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 ir aizstāta ar
Microsoft Windows komponenta pirmsražošanas CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft koda parakstīšanas PCA 2011 ir aizstāta ar
Microsoft kodu parakstīšana PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 ir aizstāta ar
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windows trešās puses komponents CA 2012 ir aizstāts ar
Microsoft Windows trešās puses komponents CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Lai gan ir ieteicams izmantot lietojumprogrammu kontroles politikas, kurām ir parakstītāja kārtulas ar tabulā norādītajām TBS jaukšanas vērtībām, nav jāatjaunina, lai varētu uzticēties komponentiem, kas parakstīti ar jaunajām 2023. un 2024. gada sistēmas lapām. Lietojumprogrammu vadība automātiski izsekos jauno 2023 un 2024 konfidencialitātes datu vērtībām un to TBS jaukšanas vērtībām, ja jūsu politikā ir kārtulas, kas uzticas pašreizējām kaiti.

Piemēram, ja politika uzticas Windows ražošanas PCA 2011, izmantojot šo kārtulu, uzticēties jaunajai Windows Ražošanas PCA 2023 versijai tiks izsecināts automātiski. Parakstītāja elementi, piemēram, CertEKU, CertPublisher, FileAttribRef un CertOemId, tiek saglabāti izsekošanas loģikā.

Parakstītāja kārtulas piemēri

Pašreizējā parakstītāja kārtula

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Secināta parakstītāja kārtula

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Jaunā apstrādes loģika arī tiek paplašināta, lai noraidītu parakstītāja kārtulas politikā. Tāpēc, ja neesat liedzis esošo esošās kopa parakstītus komponentus, šie komponenti joprojām tiks noraidīti pēc tam, kad tie būs parakstīti ar jaunajām 2023. un 2024. gada datu lapām.

Pašreizējā parakstītāja kārtula

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Secināta parakstītāja kārtula

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Saderība

Microsoft apkalpo TBS jaukšanas apstrādes loģiku beidzas CAS visām atbalstītajām platformām, kur lietojumprogrammu kontrole tiek atbalstīta saskaņā ar tālāk norādīto tabulu.

Windows OS	Sākt šo laidienu un vēlākos laidienus
Windows Server 2025	2025. gada 13. maijs — KB5058411 (OS būvējumu 26100.4061)
Windows 11 versija 24H2	2025. gada 25. aprīlis — KB5055627(OS būvējumu 26100.3915) Preview
Windows Server versija 23H2	2025. gada 13. maijs — KB5058384 (OS būvējumu 25398.1611)
Windows 11, versija 22H2 un 23H2	2025. gada 22. aprīlis — KB5055629 (OS 22621.5262 un 22631.5262) Preview
Windows Server 2022	2025. gada 13. maijs — KB5058385 (OS būvējumu 20348.3692)
Windows 10, 21H2 un 22H2 versija	2025. gada 13. maijs — KB5058379 (OS būvējumus 19044.5854 un 19045.5854)
Windows 10, versija 1809 un Windows Server 2019	2025. gada 13. maijs — KB5058392 (OS būvējumu 17763.7314)
Windows 10, 1607 un Windows Server 2016	2025. gada 13. maijs — KB5058383 (OS būvējumu 14393.8066)

Kā atteikties

Ja vēlaties atteikties no TBS jaukšanas loģikas, ko veic lietojumprogrammas vadība, politikās iestatiet šādu karodziņu: Atspējots: Noklusējuma Windows sertifikāts

Windows atbalsts lietojumprogrammu kontrolei uzņēmumiem— jaunā CA apstrādes loģika

Ievads

Microsoft Izsniegšanas CAs

Parakstītāja kārtulas piemēri

Saderība

Kā atteikties

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!