Data de publicare inițială: 20 mai 2025
ID KB: 5061682
Introducere
Articolul prezintă noua logică de tratare a controlului aplicației pentru business (cunoscută anterior ca Control aplicație Windows Defender (WDAC)) pentru regulile semnatarului, unde este specificată o valoare hash TBS pentru o autoritate de certificare intermediară (CA) Microsoft.
Microsoft Issuing CAs
Componentele Microsoft și Windows sunt semnate prin certificate frunză emise în principal de șase cai de certificare Microsoft emitente. Începând din iulie 2025, aceste CERTIFICATE de emitere de 15 ani încep să expire în conformitate cu următorul program.
|
Nume CA |
Cod hash TBS |
Data expirării |
|
Semnare cod Microsoft PCA 2010 |
|
6 iulie 2025 |
|
Microsoft Windows PCA 2010 |
|
6 iulie 2025 |
|
Semnare cod Microsoft PCA 2011 |
|
8 iulie 2026 |
|
Windows Production PCA 2011 |
|
19 octombrie 2026 |
|
Microsoft Windows Third Party Component CA 2012 |
|
18 aprilie 2027 |
|
Nume CA |
Cod hash TBS |
|
Codul Microsoft semnare PCA 2010 este înlocuit cu |
|
|
Cod Microsoft Windows semnare PCA 2024 |
|
|
Microsoft Windows PCA 2010 este înlocuit cu |
|
|
Preproducție componentă Microsoft Windows CA 2024 |
|
|
Semnarea codului Microsoft PCA 2011 este înlocuită cu |
|
|
Semnare cod Microsoft PCA 2024 |
|
|
Windows Production PCA 2011 este înlocuit cu |
|
|
Windows Production PCA 2023 |
|
|
Componenta Microsoft Windows terță CA 2012 este înlocuită cu |
|
|
Microsoft Windows Third Party Component CA 2024 |
|
Deși se recomandă, politicile de control al aplicațiilor care au reguli de semnatar cu valorile hash TBS listate în tabelul de mai sus nu trebuie actualizate pentru a avea încredere în componentele semnate de noile CA-uri 2023 și 2024. Controlul aplicației va deduce automat încrederea noilor CA-uri 2023 și 2024 și a valorilor lor hash TBS, dacă politica dvs. are reguli care acordă încredere CA-urilor curente.
De exemplu, dacă politica dvs. are încredere în Windows Production PCA 2011 utilizând următoarea regulă, se va deduce automat încrederea pentru noul PCA de producție Windows 2023. Elementele semnatare, cum ar fi CertEKU, CertPublisher, FileAttribRef și CertOemId sunt păstrate în logica de deducere.
Exemple de reguli semnatare
Regulă curentă semnatar
|
Regulă semnatar dedusă
|
Noua logică de manipulare se extinde și la a refuza regulile semnatarului din politică. Așadar, dacă ați refuzat componentele semnate de CA-urile existente, aceste componente vor continua să fie refuzate după ce sunt semnate cu noile CA-uri 2023 și 2024.
Regulă curentă semnatar
|
Regulă semnatar dedusă
|
Compatibilitate
Microsoft a întreținut logica de tratare a hashurilor TBS pentru CA-urile care expiră pentru toate platformele acceptate pe care este acceptat Controlul aplicațiilor, în conformitate cu tabelul următor.
|
Sistem de operare Windows |
Începând cu această versiune și versiunile ulterioare |
|
Windows Server 2025 |
13 mai 2025 - KB5058411 (versiunea sistemului de operare 26100.4061) |
|
Windows 11, versiunea 24H2 |
25 aprilie 2025 - KB5055627(versiunea sistemului de operare 26100.3915) Preview |
|
Windows Server, versiunea 23H2 |
13 mai 2025 - KB5058384 (versiunea sistemului de operare 25398.1611) |
|
Windows 11, versiunea 22H2 și 23H2 |
22 aprilie 2025 - KB5055629 (sistem de operare 22621.5262 și 22631.5262) Preview |
|
Windows Server 2022 |
13 mai 2025 - KB5058385 (versiunea sistemului de operare 20348.3692) |
|
Windows 10, versiunile 21H2 și 22H2 |
13 mai 2025 - KB5058379 (versiunile sistemului de operare 19044.5854 și 19045.5854) |
|
Windows 10, versiunea 1809 și Windows Server 2019 |
13 mai 2025 - KB5058392 (versiunea sistemului de operare 17763.7314) |
|
Windows 10, versiunea 1607 și Windows Server 2016 |
13 mai 2025 - KB5058383 (versiunea sistemului de operare 14393.8066) |
Cum să renunțați
Dacă doriți să renunțați la logica de deducere a codului hash TBS efectuată de Controlul aplicației, setați următorul semnalizator în politici: Dezactivat: Certificat Windows implicit
