Obsługa systemu Windows dla kontroli aplikacji dla firm — nowa logika obsługi urzędu certyfikacji

Wprowadzenie

W tym artykule przedstawiono nową logikę obsługi kontroli aplikacji dla firm (wcześniej znaną jako Kontrola aplikacji usługi Windows Defender (WDAC) dla reguł podpisywania, w której określono wartość skrótu TBS dla pośredniego urzędu certyfikacji firmy Microsoft.

Firmy Microsoft wydające certyfikaty

Składniki Firmy Microsoft i systemu Windows są podpisane certyfikatami liści, wystawionymi głównie przez sześć urzędów certyfikacji firmy Microsoft. Począwszy od lipca 2025 r., te 15-letnie rozliczenia rozliczeniowe zaczynają wygasać zgodnie z poniższym harmonogramem.

Nazwa urzędu certyfikacji	Skrót tbs	Data wygaśnięcia
Podpisywanie kodu firmy Microsoft PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6 lipca 2025 r.
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6 lipca 2025 r.
Podpisywanie kodu firmy Microsoft PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8 lipca 2026 r.
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19 października 2026 r.
Microsoft Windows Third Party Component CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18 kwietnia 2027 r.

Nazwa urzędu certyfikacji	Skrót tbs
Kod firmy Microsoft podpisujący pca 2010 został zastąpiony
Podpisywanie kodu systemu Microsoft Windows PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Program Microsoft Windows PCA 2010 został zastąpiony
Przedprodukcja składnika Microsoft Windows CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Kod firmy Microsoft podpisujący pca 2011 został zastąpiony
Podpisywanie kodu firmy Microsoft PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Program Windows Production PCA 2011 został zastąpiony
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Składnik Microsoft Windows Third Party CA 2012 został zastąpiony
Microsoft Windows Third Party Component CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Mimo że jest to zalecane, zasady kontroli aplikacji, które mają reguły podpisywania z wartościami skrótów TBS wymienionymi w powyższej tabeli, nie muszą być aktualizowane w celu zaufania składnikom podpisanym przez nowe wersje 2023 i 2024. Kontrola aplikacji automatycznie wywnioskuje zaufanie do nowych lokalizacji w wersjach 2023 i 2024 oraz ich wartości skrótów TBS, jeśli w zasadach obowiązują reguły ufające bieżącym CA.

Jeśli na przykład zasady ufają programowi Windows Production PCA 2011 przy użyciu poniższej reguły, zostanie automatycznie wywnioskowana wartość zaufania dla nowej wersji Windows Production PCA 2023. Elementy podpisujące, takie jak CertEKU, CertPublisher, FileAttribRef i CertOemId, są zachowywane w logice konferencji.

Przykłady reguł logowania

Bieżąca reguła podpisywania

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Reguła wywnioskowania podpisywania

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Nowa logika obsługi rozszerza się również na odmowę reguł podpisywania w zasadach. Tak więc, jeśli odmówiono składników podpisanych przez istniejące CA, te składniki będą nadal odrzucane po podpisaniu z nowymi 2023 i 2024 CAs.

Bieżąca reguła podpisywania

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Reguła wywnioskowania podpisywania

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Zgodność

Firma Microsoft obsługiwała logikę obsługi skrótów TBS dla wygasających certyfikatów na wszystkich obsługiwanych platformach, na których kontrola aplikacji jest obsługiwana zgodnie z poniższą tabelą.

System operacyjny Windows	Począwszy od tej wersji i nowszych wydań
Windows Server 2025	13 maja 2025 r. — KB5058411 (kompilacja systemu operacyjnego 26100.4061)
Windows 11 w wersji 24H2	25 kwietnia 2025 r. — KB5055627(kompilacja systemu operacyjnego 26100.3915) — wersja zapoznawcza
Windows Server, wersja 23H2	13 maja 2025 r. — KB5058384 (kompilacja systemu operacyjnego 25398.1611)
Windows 11, wersja 22H2 i 23H2	22 kwietnia 2025 r. — KB5055629 (system operacyjny 22621.5262 i 22631.5262) — wersja zapoznawcza
Windows Server 2022	13 maja 2025 r. — KB5058385 (kompilacja systemu operacyjnego 20348.3692)
Windows 10, wersje 21H2 i 22H2	13 maja 2025 r. — KB5058379 (kompilacje systemu operacyjnego 19044.5854 i 19045.5854)
Windows 10 w wersji 1809 i Windows Server 2019	13 maja 2025 r. — KB5058392 (kompilacja systemu operacyjnego 17763.7314)
Windows 10, wersja 1607 i Windows Server 2016	13 maja 2025 r. — KB5058383 (kompilacja systemu operacyjnego 14393.8066)

Jak zrezygnować

Jeśli chcesz wyłączyć systemy z logiki skrótów TBS wykonywanej przez kontrolę aplikacji, ustaw następującą flagę w zasadach: Wyłączone: Domyślny certyfikat systemu Windows

Obsługa systemu Windows dla kontroli aplikacji dla firm — nowa logika obsługi urzędu certyfikacji

Wprowadzenie

Firmy Microsoft wydające certyfikaty

Przykłady reguł logowania

Zgodność

Jak zrezygnować

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Czy te informacje były pomocne?

Dziękujemy za opinię!