Podpora systému Windows pre novú logiku spracovania ca ovládacieho prvku aplikácie for Business

Úvod

Tento článok popisuje nový ovládací prvok aplikácie pre podniky (predtým známy ako Windows Defender Application Control (WDAC)) na spracovanie logiky pre pravidlá podpisovateľa, kde je zadaná hodnota hash TBS pre certifikačnú autoritu (CA) od spoločnosti Microsoft.

Microsoft Issuing CAs

Súčasti Microsoft a Windows sú podpísané listami certifikátov vydaných hlavne šiestimi certifikačnými autoritami Microsoft Issuing. Od júla 2025 začnú tieto 15-ročné vydávanie CA vypršať podľa nasledujúceho harmonogramu.

Názov CA	Hodnota hash TBS	Dátum vypršania platnosti
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6. júla 2025
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6. júla 2025
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8. júla 2026
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19. októbra 2026
Microsoft Windows Third Party Component CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18. apríla 2027

Názov certifikačnej autority	Hodnota hash TBS
Microsoft Code Signing PCA 2010 sa nahrádza
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 sa nahrádza
Microsoft Windows Component Preproduction CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 sa nahrádza
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 sa nahrádza
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windows Third Party Component CA 2012 sa nahrádza
Microsoft Windows Third Party Component CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Hoci sa odporúča, politiky riadenia aplikácií, ktoré majú pravidlá podpisovania s hodnotami hash TBS uvedenými v tabuľke vyššie, nie je potrebné aktualizovať, aby dôverovali komponentom podpísaným novými certifikačnými nariadeniami 2023 a 2024. Ovládací prvok aplikácie automaticky odvodí dôveru nových CK z rokov 2023 a 2024 a ich hodnoty hash TBS, ak vaša politika má pravidlá, ktoré sú dôveryhodné súčasným certifikačnými nariadeniami.

Ak napríklad vaša politika dôveruje Windows Production PCA 2011 pomocou nasledujúceho pravidla, automaticky sa odvodí dôveryhodnosť pre nový Windows Production PCA 2023. Prvky signatára, ako napríklad CertEKU, CertPublisher, FileAttribRef a CertOemId, sa v logike odvodenia zachovajú.

Príklady pravidla signatára

Aktuálne pravidlo podpisovateľa

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Odvodené pravidlo signatára

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Nová logika spracovania sa vzťahuje aj na odmietnutie pravidiel podpisovateľa v politike. Ak ste teda odmietli súčasti podpísané existujúcimi zmluvami CA, tieto súčasti budú po podpísaní novými zmluvami 2023 a 2024 naďalej zamietnuté.

Aktuálne pravidlo podpisovateľa

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Odvodené pravidlo signatára

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Kompatibilita

Spoločnosť Microsoft obsluhovala logiku spracovania hash TBS pre uplynutie platnosti pre všetky podporované platformy, kde je ovládací prvok aplikácie podporovaný podľa nasledujúcej tabuľky.

Windows OS	Počnúc týmto vydaním a novšími vydaniami
Windows Server 2025	13. mája 2025 – KB5058411 (zostava operačného systému 26100.4061)
Windows 11, verzia 24H2	25. apríla 2025 – KB5055627(zostava operačného systému 26100.3915) Preview
Windows Server, verzia 23H2	13. mája 2025 – KB5058384 (zostava operačného systému 25398.1611)
Windows 11, verzia 22H2 a 23H2	22. apríla 2025 – KB5055629 (OS 22621.5262 a 22631.5262) Preview
Windows Server 2022	13. mája 2025 – KB5058385 (zostava operačného systému 20348.3692)
Windows 10, verzie 21H2 a 22H2	13. mája 2025 – KB5058379 (zostavy operačného systému 19044.5854 a 19045.5854)
Windows 10 verzie 1809 a Windows Server 2019	13. mája 2025 – KB5058392 (zostava operačného systému 17763.7314)
Windows 10, verzie 1607 a Windows Server 2016	13. mája 2025 – KB5058383 (zostava operačného systému 14393.8066)

Ako sa odhlásiť

Ak chcete svoje systémy odhlásiť z logiky určovania hodnoty hash TBS vykonávanej ovládacím prvkom aplikácie, nastavte v politikách nasledujúci príznak: Zakázané: Predvolený certifikát systému Windows

Podpora systému Windows pre novú logiku spracovania ca ovládacieho prvku aplikácie for Business

Úvod

Microsoft Issuing CAs

Príklady pravidla signatára

Kompatibilita

Ako sa odhlásiť

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Boli tieto informácie užitočné?

Ďakujeme za vaše pripomienky!