Windows-ondersteuning voor de nieuwe ca-verwerkingslogica van Application Control for Business

Inleiding

In het artikel wordt de nieuwe verwerkingslogica voor toepassingsbeheer voor bedrijven (voorheen bekend als Windows Defender Application Control (WDAC)) beschreven voor ondertekeningsregels waarbij een TBS-hashwaarde voor een tussenliggende certificeringsinstantie (CA) van Microsoft is opgegeven.

Microsoft Issuing CA's

Microsoft- en Windows-onderdelen worden ondertekend door leaf-certificaten die voornamelijk zijn uitgegeven door zes Microsoft Issuing CA's. Vanaf juli 2025 verlopen deze 15 jaar gevende CA's volgens het volgende schema.

CA-naam	TBS-hash	Vervaldatum
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	dinsdag 6 juli 2025
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	dinsdag 6 juli 2025
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	dinsdag 8 juli 2026
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	dinsdag 19 oktober 2026
Microsoft Windows Third Party Component CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	dinsdag 18 april 2027

CA-naam	TBS-hash
Microsoft Code Signing PCA 2010 is vervangen door
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 wordt vervangen door
Preproductie van Microsoft Windows-onderdeel CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 wordt vervangen door
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 is vervangen door
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windows Third Party Component CA 2012 is vervangen door
Microsoft Windows Component CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Hoewel het wordt aanbevolen, hoeven beleidsregels voor toepassingsbeheer met ondertekenaarregels met TBS-hashwaarden die in de bovenstaande tabel worden vermeld, niet te worden bijgewerkt om de onderdelen te vertrouwen die zijn ondertekend door de nieuwe 2023- en 2024-CA's. Toepassingsbeheer leidt automatisch vertrouwen af van de nieuwe 2023- en 2024-CA's en hun TBS-hashwaarden, als uw beleid regels heeft die de huidige CA's vertrouwen.

Als uw beleid bijvoorbeeld de Windows Production PCA 2011 vertrouwt met behulp van de volgende regel, wordt vertrouwen voor de nieuwe Windows Production PCA 2023 automatisch afgeleid. Ondertekenaarelementen zoals CertEKU, CertPublisher, FileAttribRef en CertOemId blijven behouden in de deductielogica.

Voorbeelden van ondertekenaarregel

Huidige ondertekenaarregel

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Regel voor afgeleide ondertekenaar

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

De nieuwe afhandelingslogica breidt zich ook uit tot het weigeren van ondertekenregels in het beleid. Dus als u onderdelen hebt geweigerd die zijn ondertekend door de bestaande CA's, worden deze onderdelen nog steeds geweigerd zodra ze zijn ondertekend met de nieuwe 2023- en 2024-CA's.

Huidige ondertekenaarregel

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Regel voor afgeleide ondertekenaar

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Compatibiliteit

Microsoft heeft de tbs-hashverwerkingslogica voor de verlopende CA's uitgevoerd op alle ondersteunde platforms waarop Application Control wordt ondersteund volgens de volgende tabel.

Windows-besturingssysteem	Beginnen met deze release en latere releases
Windows Server 2025	13 mei 2025, KB5058411 (OS-build 26100.4061)
Windows 11, versie 24H2	25 april 2025, KB5055627(OS-build 26100.3915) Preview
Windows Server, versie 23H2	13 mei 2025, KB5058384 (OS-build 25398.1611)
Windows 11, versie 22H2 en 23H2	22 april 2025, KB5055629 (OS 22621.5262 en 22631.5262) Preview
Windows Server 2022	13 mei 2025, KB5058385 (OS-build 20348.3692)
Windows 10, versies 21H2 en 22H2	13 mei 2025, KB5058379 (OS-builds 19044.5854 en 19045.5854)
Windows 10 versie 1809 en Windows Server 2019	13 mei 2025, KB5058392 (OS-build 17763.7314)
Windows 10, versie 1607 en Windows Server 2016	13 mei 2025, KB5058383 (OS-build 14393.8066)

Afmelden

Als u uw systemen wilt afmelden voor de TBS-hashdeductielogica die wordt uitgevoerd door Application Control, stelt u de volgende vlag in beleid in: Uitgeschakeld: Standaard Windows-certificaat

Windows-ondersteuning voor de nieuwe ca-verwerkingslogica van Application Control for Business

Inleiding

Microsoft Issuing CA's

Voorbeelden van ondertekenaarregel

Compatibiliteit

Afmelden

Meer hulp nodig?

Meer opties?

Was deze informatie nuttig?

Hartelijk dank voor uw feedback.