Suporte do Windows para a nova lógica de processamento de AC do Controlo de Aplicações para Empresas

Introdução

O artigo descreve o novo Controle de Aplicativo para Empresas (anteriormente conhecido como WDAC (Controle de Aplicativos do Windows Defender)) manipulando a lógica para regras do signatário em que um valor de hash TBS para uma AUTORIDADE de certificado intermediária da Microsoft (AC) é especificado.

CAs de emissão da Microsoft

Os componentes da Microsoft e do Windows são assinados por certificados de folha emitidos principalmente por seis CAs emissores da Microsoft. A partir de julho de 2025, esses CAs emissores de 15 anos começam a expirar de acordo com o agendamento a seguir.

Nome da AC	Hash TBS	Data de validade
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6 de julho de 2025
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6 de julho de 2025
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8 de julho de 2026
PCA de produção do Windows 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19 de outubro de 2026
Ca 2012 do Componente de Terceiros do Microsoft Windows	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18 de abril de 2027

Nome da AC	Hash TBS
O Microsoft Code Signing PCA 2010 é substituído por
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
O Microsoft Windows PCA 2010 é substituído por
Ca 2024 de pré-produção do componente do Microsoft Windows	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
O Microsoft Code Signing PCA 2011 é substituído por
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
O Windows Production PCA 2011 é substituído por
PCA de produção do Windows 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
A CA do Componente de Terceiros do Microsoft Windows 2012 é substituída por
Ca 2024 do Componente de Terceiros do Microsoft Windows	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Embora seja recomendável, as políticas de Controle de Aplicativo que têm regras do Signatário com valores de hash TBS listados na tabela acima não precisam ser atualizadas para confiar nos componentes assinados pelos novos CAs 2023 e 2024. O Controle de Aplicativo inferirá automaticamente a confiança dos novos CAs 2023 e 2024 e seus valores de hash TBS, se sua política tiver regras que confiam nos CAs atuais.

Por exemplo, se sua política confiar no Windows Production PCA 2011 usando a regra a seguir, a confiança para o novo PCA de Produção do Windows 2023 será inferida automaticamente. Elementos do signatário como CertEKU, CertPublisher, FileAttribRef e CertOemId são preservados na lógica de inferência.

Exemplos de regra do signatário

Regra do signatário atual

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Regra do signatário inferido

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

A nova lógica de tratamento também se estende para negar regras de signatário na política. Portanto, se você negou componentes assinados pelos CAs existentes, esses componentes continuarão a ser negados depois de assinados com os novos CAs 2023 e 2024.

Regra do signatário atual

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Regra do signatário inferido

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Compatibilidade

A Microsoft tem atendido a lógica de tratamento de hash do TBS para os CAs expirando para todas as plataformas com suporte em que o Controle de Aplicativo tem suporte de acordo com a tabela a seguir.

SO Windows	Iniciando esta versão e versões posteriores
Windows Server 2025	13 de maio de 2025 — KB5058411 (build do sistema operacional 26100.4061)
Windows 11, versão 24H2	Versão prévia de 25 de abril de 2025 —KB5055627(compilação do sistema operacional 26100.3915)
Windows Server, versão 23H2	13 de maio de 2025 — KB5058384 (compilação do sistema operacional 25398.1611)
Windows 11, versão 22H2 e 23H2	22 de abril de 2025 — KB5055629 (sistema operacional 22621.5262 e 22631.5262) Versão prévia
Windows Server 2022	13 de maio de 2025 — KB5058385 (compilação do sistema operacional 20348.3692)
Windows 10, versões 21H2 e 22H2	13 de maio de 2025 — KB5058379 (compilações do sistema operacional 19044.5854 e 19045.5854)
Windows 10 versão 1809 e Windows Server 2019	13 de maio de 2025 — KB5058392 (compilação do sistema operacional 17763.7314)
Windows 10, versão 1607 e Windows Server 2016	13 de maio de 2025 — KB5058383 (build do sistema operacional 14393.8066)

Como optar por sair

Se você quiser optar por seus sistemas fora da lógica de inferência de hash tbS executada pelo Controle de Aplicativo, defina o seguinte sinalizador em políticas: Desabilitado: Certificado Padrão do Windows

Suporte do Windows para a nova lógica de processamento de AC do Controlo de Aplicações para Empresas

Introdução

CAs de emissão da Microsoft

Exemplos de regra do signatário

Compatibilidade

Como optar por sair

Precisa de mais ajuda?

Quer mais opções

Essas informações foram úteis?

Agradecemos seus comentários!