Datum izvirne objave: 20. maj 2025
ID zbirke znanja: 5061682
Uvod
V članku je opisano novo orodje za nadzor aplikacije za podjetja (prej znan kot Windows Defender Application Control (WDAC)) logika za obravnavanje pravil podpisnika, pri kateri je določena vrednost lojpe TBS za Microsoftov vmesni overitelj digitalnih potrdil.
Microsoftovi organi za izdajo potrdil
Komponente Microsofta in sistema Windows so podpisane s potrdili listov, ki jih izda predvsem šest Microsoftovih overiteljev potrdil. Od julija 2025 naprej bodo ti 15-letni organi, ki izdajajo potrdila, začeli veljati v skladu z naslednjim razporedom.
|
Ime overilja digitalnih potrdil |
Hash TBS |
Datum poteka |
|
Microsoftovo podpisovanje kode PCA 2010 |
|
6. julij 2025 |
|
Microsoft Windows PCA 2010 |
|
6. julij 2025 |
|
Microsoftovo podpisovanje kode PCA 2011 |
|
8. julij 2026 |
|
Windows Production PCA 2011 |
|
19. oktober 2026 |
|
Microsoft Windows Third Party Component CA 2012 |
|
18. april 2027 |
|
Ime overilja digitalnih potrdil |
Hash TBS |
|
Microsoftovo podpisovanje kode PCA 2010 je zamenjano z |
|
|
Microsoft Windows Code Signing PCA 2024 |
|
|
Microsoft Windows PCA 2010 se zamenja z |
|
|
Microsoft Windows Component Preproduction CA 2024 |
|
|
Microsoftovo podpisovanje kode PCA 2011 je zamenjano z |
|
|
Microsoftovo podpisovanje kode PCA 2024 |
|
|
Windows Production PCA 2011 se nadomesti z |
|
|
Windows Production PCA 2023 |
|
|
Microsoft Windows Third Party Component CA 2012 se nadomesti z |
|
|
Microsoft Windows Third Party Component CA 2024 |
|
Priporočamo vam, da pravilnikov za nadzor aplikacij , ki imajo pravila podpisnika z vrednostmi lojskih vrednosti TBS, ki so navedene v zgornji tabeli, ni treba posodobiti, da bi lahko zaupali komponentam, ki so jih podpisali novi organi za upravljanje digitalnih potrdil 2023 in 2024. Nadzor aplikacije bo samodejno določil zaupanje v nove CA-je 2023 in 2024 ter njihove vrednosti za lojčenje TBS, če ima vaš pravilnik pravila, ki zaupajo trenutnim nadzornim dokumentom.
Če na primer vaš pravilnik zaupa računalniku PCA 2011 s tem pravilom, se samodejno določi zaupanje za novi PCA za Windows Production PCA 2023. Elementi podpisnika, kot so CertEKU, CertPublisher, FileAttribRef in CertOemId, se ohranijo v logiki inferencing.
Primeri pravila podpisnika
Trenutno pravilo podpisnika
|
Inferred Signer Rule
|
Nova logika obravnavanja vključuje tudi zavrnitev pravil podpisnika v pravilniku. Če ste torej zavrnili podpis komponent, ki so jih podpisali obstoječi pogodbeni upravitelji, bodo te komponente še naprej zavrnjene, ko bodo podpisane z novimi CAs 2023 in 2024.
Trenutno pravilo podpisnika
|
Inferred Signer Rule
|
Združljivost
Microsoft je logiko ravnanja s TBS-jem za potekliH CA-jev servisiran za vse podprte platforme, kjer je nadzor aplikacije podprt v skladu s to tabelo.
|
Operacijski sistem Windows |
Od te izdaje in novejših izdaj |
|
Windows Server 2025 |
13. maj 2025 – KB5058411 (graditev operacijskega sistema 26100.4061) |
|
Windows 11, različica 24H2 |
25. april 2025 – KB5055627(graditev operacijskega sistema 26100.3915) – predogled |
|
Windows Server, različica 23H2 |
13. maj 2025 – KB5058384 (graditev operacijskega sistema 25398.1611) |
|
Windows 11, različica 22H2 in 23H2 |
22. april 2025 – KB5055629 (OS 22621.5262 in 22631.5262) Preview |
|
Windows Server 2022 |
13. maj 2025 – KB5058385 (graditev operacijskega sistema 20348.3692) |
|
Windows 10, različici 21H2 in 22H2 |
13. maj 2025 – KB5058379 (graditvi operacijskega sistema 19044.5854 in 19045.5854) |
|
Windows 10, različica 1809 in Windows Server 2019 |
13. maj 2025 – KB5058392 (graditev operacijskega sistema 17763.7314) |
|
Windows 10, različica 1607 in Windows Server 2016 |
13. maj 2025 – KB5058383 (graditev operacijskega sistema 14393.8066) |
Kako se odjaviti
Če želite odjaviti svoje sisteme iz logike za določanje vrednosti TBS, ki jo izvede funkcija Application Control, v pravilnikih nastavite to zastavico: Onemogočeno: privzeto potrdilo sistema Windows
