Data de publicação original: 20 de maio de 2025
ID da BDC: 5061682
Introdução
O artigo descreve a nova lógica de processamento do Controlo de Aplicações para Empresas (anteriormente conhecido como Controlo de Aplicações do Windows Defender (WDAC) para regras de signatário em que é especificado um valor hash TBS para uma autoridade de certificação intermédia (AC) da Microsoft.
ACs Emissoras da Microsoft
Os componentes microsoft e Windows são assinados por certificados de folha emitidos principalmente por seis ACs Emissoras da Microsoft. A partir de julho de 2025, estas ACs Emissoras de 15 anos começam a expirar de acordo com a seguinte agenda.
|
Nome da AC |
Hash TBS |
Data de Validade |
|
Microsoft Code Signing PCA 2010 |
|
6 de julho de 2025 |
|
Microsoft Windows PCA 2010 |
|
6 de julho de 2025 |
|
Microsoft Code Signing PCA 2011 |
|
8 de julho de 2026 |
|
Windows Production PCA 2011 |
|
19 de outubro de 2026 |
|
Microsoft Windows Third Party Component CA 2012 |
|
18 de abril de 2027 |
|
Nome da AC |
Hash TBS |
|
Microsoft Code Signing PCA 2010 is replaced with |
|
|
Microsoft Windows Code Signing PCA 2024 |
|
|
O Microsoft Windows PCA 2010 foi substituído por |
|
|
MICROSOFT Windows Component Preproduction CA 2024 |
|
|
Microsoft Code Signing PCA 2011 is replaced with |
|
|
Microsoft Code Signing PCA 2024 |
|
|
O Windows Production PCA 2011 foi substituído por |
|
|
Windows Production PCA 2023 |
|
|
Microsoft Windows Third Party Component CA 2012 is replaced with |
|
|
Microsoft Windows Third Party Component CA 2024 |
|
Embora seja recomendado, as políticas de Controlo de Aplicações que têm regras de Signatário com valores hash TBS listados na tabela acima não precisam de ser atualizadas para confiar nos componentes assinados pelas novas ACs de 2023 e 2024. O Controlo de Aplicações irá inferir automaticamente a confiança das novas ACs de 2023 e 2024 e dos respetivos valores hash TBS, se a política tiver regras que confiem nas ACs atuais.
Por exemplo, se a sua política confiar no Windows Production PCA 2011 com a seguinte regra, a confiança para o novo PCA de Produção do Windows 2023 será automaticamente inferida. Os elementos do signatário, como CertEKU, CertPublisher, FileAttribRef e CertOemId, são preservados na lógica de inferência.
Exemplos de Regra de Signatário
Regra do Signatário Atual
|
Regra do Signatário Inferido
|
A nova lógica de processamento também se expande para negar regras de signatário na política. Assim, se tiver negado componentes assinados pelas ACs existentes, esses componentes continuarão a ser negados assim que forem assinados com as novas ACs de 2023 e 2024.
Regra do Signatário Atual
|
Regra do Signatário Inferido
|
Compatibilidade:
A Microsoft serviçou a lógica de processamento de hash do TBS para as ACs prestes a expirar para todas as plataformas suportadas em que o Controlo de Aplicações é suportado de acordo com a tabela seguinte.
|
Sistema Operativo Windows |
Iniciar esta versão e versões posteriores |
|
Windows Server 2025 |
13 de maio de 2025 — KB5058411 (Compilação 26100.4061 do SO) |
|
Windows 11, versão 24H2 |
25 de abril de 2025 — Pré-visualização do KB5055627(Compilação 26100.3915 do SO) |
|
Windows Server, versão 23H2 |
13 de maio de 2025 — KB5058384 (Compilação 25398.1611 do SO) |
|
Windows 11, versão 22H2 e 23H2 |
22 de abril de 2025 — KB5055629 (SO 22621.5262 e 22631.5262) Pré-visualização |
|
Windows Server 2022 |
13 de maio de 2025 — KB5058385 (Compilação 20348.3692 do SO) |
|
Windows 10, versões 21H2 e 22H2 |
13 de maio de 2025 — KB5058379 (Compilações 19044.5854 e 19045.5854 do SO) |
|
Windows 10, versão 1809 e Windows Server 2019 |
13 de maio de 2025 — KB5058392 (Compilação 17763.7314 do SO) |
|
Windows 10, versão 1607 e Windows Server 2016 |
13 de maio de 2025 — KB5058383 (Compilação 14393.8066 do SO) |
Como optar ativamente por não participar
Se quiser excluir os sistemas da lógica de inferência do hash TBS executada pelo Controlo de Aplicações, defina o seguinte sinalizador em políticas: Desativado: Certificado predefinido do Windows
