Поддержка Windows новой логики обработки ЦС для управления приложениями для бизнеса

Введение

В этой статье описывается новая логика управления приложениями для бизнеса (прежнее название — Управление приложениями в Защитнике Windows (WDAC)) для правил подписывания, в которых указано хэш-значение TBS для промежуточного центра сертификации (ЦС) Майкрософт.

ЦС, выдаваемая корпорацией Майкрософт

Компоненты Майкрософт и Windows подписываются конечными сертификатами, главным образом выданными шестью ЦС майкрософт, выпускаемыми. Начиная с июля 2025 года срок действия этих 15-летних ЦС начинает истекать в соответствии со следующим графиком.

Имя ЦС	Хэш TBS	Дата окончания срока действия
Подписывание кода (Майкрософт) PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6 июля 2025 г.
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6 июля 2025 г.
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8 июля 2026 г.
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19 октября 2026 г.
ЦС стороннего компонента Microsoft Windows 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18 апреля 2027 г.

Имя ЦС	Хэш TBS
Microsoft Code Signing PCA 2010 заменен на
Подписывание кода Microsoft Windows PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 заменен на
Предварительный выпуск компонентов Microsoft Windows CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 заменен на
Подписывание кода (Майкрософт) PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 заменен на
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
ЦС стороннего компонента Microsoft Windows 2012 заменен на
ЦС стороннего компонента Microsoft Windows 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Хотя это и рекомендуется, политики управления приложениями с правилами подписывания со значениями хэша TBS, перечисленными в таблице выше, не нужно обновлять, чтобы доверять компонентам, подписанным новыми ЦС 2023 и 2024. Элемент управления приложениями автоматически выдаст доверие для новых ЦС 2023 и 2024 и их хэш-значений TBS, если в вашей политике есть правила, доверяющие текущим ЦС.

Например, если ваша политика доверяет Windows Production PCA 2011, используя следующее правило, доверие для нового windows Production PCA 2023 будет автоматически выведено. Элементы signer, такие как CertEKU, CertPublisher, FileAttribRef и CertOemId, сохраняются в логике вывода.

Примеры правил подписывания

Текущее правило подписыватель

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Правило выводимых подписыватель

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Новая логика обработки также распространяется на запрет правил подписывания в политике. Таким образом, если вы отклонили компоненты, подписанные существующими ЦС, эти компоненты будут по-прежнему отклоняться после их подписания с новыми ЦС 2023 и 2024.

Текущее правило подписыватель

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Правило выводимых подписыватель

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Совместимость

Корпорация Майкрософт обслужает логику обработки хэша TBS для ЦС с истекающим сроком действия на всех поддерживаемых платформах, на которых поддерживается управление приложениями в соответствии со следующей таблицей.

ОС Windows	Начало этого и более поздних выпусков
Windows Server 2025	13 мая 2025 г. — KB5058411 (сборка ОС 26100.4061)
Windows 11, версия 24H2	25 апреля 2025 г. — KB5055627(сборка ОС 26100.3915) Предварительная версия
Windows Server версии 23H2	13 мая 2025 г. — KB5058384 (сборка ОС 25398.1611)
Windows 11 версии 22H2 и 23H2	22 апреля 2025 г. — KB5055629 (ОС 22621.5262 и 22631.5262) (предварительная версия)
Windows Server 2022	13 мая 2025 г. — KB5058385 (сборка ОС 20348.3692)
Windows 10, версии 21H2 и 22H2	13 мая 2025 г. — KB5058379 (сборки ОС 19044.5854 и 19045.5854)
Windows 10, версия 1809 и Windows Server 2019	13 мая 2025 г. — KB5058392 (сборка ОС 17763.7314)
Windows 10 версии 1607 и Windows Server 2016	13 мая 2025 г. — KB5058383 (сборка ОС 14393.8066)

Как отказаться

Если вы хотите отказаться от логики вывода хэша TBS, выполняемой элементом управления приложениями, установите следующий флаг в политиках: Отключено: Сертификат Windows по умолчанию

Поддержка Windows новой логики обработки ЦС для управления приложениями для бизнеса

Введение

ЦС, выдаваемая корпорацией Майкрософт

Примеры правил подписывания

Совместимость

Как отказаться

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Были ли сведения полезными?

Спасибо за ваш отзыв!