Windows-støtte for programkontroll for business ny sertifiseringsinstansbehandlingslogikk

Innføring

Artikkelen beskriver den nye programkontrollen for bedrifter (tidligere kjent som Windows Defender Application Control (WDAC))-håndteringslogikk for signatarregler der en TBS-hash-verdi for en Microsoft mellomliggende sertifiseringsinstans (CA) er angitt.

Microsoft Issuing CAs

Microsoft- og Windows-komponenter signeres av bladsertifikater som hovedsakelig utstedes av seks Microsoft Issuing CAer. Fra og med juli 2025 begynner disse 15-årige utstedelses-CAene å utløpe i henhold til følgende tidsplan.

Navn på sertifiseringsinstan	TBS-hash	Utløpsdato
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6. juli 2025 kl.
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6. juli 2025 kl.
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8. juli 2026 kl.
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19. oktober 2026 kl.
Microsoft Windows Tredjepartskomponent CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18. april 2027 kl.

CA-navn	TBS-hash
Microsoft Code Signing PCA 2010 erstattes med
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 erstattes med
Microsoft Windows Component Preproduction CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 erstattes med
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 erstattes med
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windows Third Party Component CA 2012 erstattes med
Microsoft Windows Tredjepartskomponent CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Selv om det anbefales, trenger ikke programkontrollpolicyer som har signatarregler med TBS-hash-verdier som er oppført i tabellen ovenfor, å oppdateres for å klarere komponentene som er signert av de nye CAene for 2023 og 2024. Programkontroll vil automatisk utlede klarering av de nye CAene for 2023 og 2024, og deres TBS-hash-verdier, hvis policyen har regler som klarerer gjeldende CAer.

Hvis policyen for eksempel klarerer WINDOWS Production PCA 2011 ved hjelp av følgende regel, vil klarering for den nye WINDOWS Production PCA 2023 utledes automatisk. Signatarelementer som CertEKU, CertPublisher, FileAttribRef og CertOemId bevares i den utledende logikken.

Eksempler på signatarregel

Gjeldende signatarregel

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Utledet signatarregel

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Den nye håndteringslogikken strekker seg også til å nekte signatarregler i policyen. Så hvis du har nektet komponenter signert av eksisterende CAer, vil disse komponentene fortsatt bli nektet når de er signert med de nye CAene for 2023 og 2024.

Gjeldende signatarregel

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Utledet signatarregel

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Kompatibilitet

Microsoft har betjent hash-behandlingslogikken for TBS for utløpende CAer til alle støttede plattformer der programkontroll støttes i henhold til tabellen nedenfor.

Windows OS	Begynner denne utgivelsen og senere versjoner
Windows Server 2025	13. mai 2025 – KB5058411 (OS-bygg 26100.4061)
Windows 11, versjon 24H2	25. april 2025 – KB5055627(OS bygg 26100.3915) Forhåndsvisning
Windows Server, versjon 23H2	13. mai 2025 – KB5058384 (OS-bygg 25398.1611)
Windows 11, versjon 22H2 og 23H2	22. april 2025 – KB5055629 (OS 22621.5262 og 22631.5262) Forhåndsvisning
Windows Server 2022	13. mai 2025 – KB5058385 (OS-bygg 20348.3692)
Windows 10, versjon 21H2 og 22H2	13. mai 2025 – KB5058379 (OS-bygg 19044.5854 og 19045.5854)
Windows 10 versjon 1809 og Windows Server 2019	13. mai 2025 – KB5058392 (OS-bygg 17763.7314)
Windows 10, versjon 1607 og Windows Server 2016	13. mai 2025 – KB5058383 (OS-bygg 14393.8066)

Slik melder du deg ut

Hvis du vil velge bort systemene fra tbs hash-inferencing-logikken som utføres av programkontrollen, angir du følgende flagg i policyer: Deaktivert: Standard Windows-sertifikat

Windows-støtte for programkontroll for business ny sertifiseringsinstansbehandlingslogikk

Innføring

Microsoft Issuing CAs

Eksempler på signatarregel

Kompatibilitet

Slik melder du deg ut

Trenger du mer hjelp?

Vil du ha flere alternativer?

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!