Podrška za Windows za kontrolu aplikacije za preduzeća , nova ca logika za rukovanje

Uvod

U članku je navedena nova kontrola aplikacije za preduzeća (ranije poznata kao Kontrola aplikacije Windows zaštitnik (WDAC)) za logiku za pravila potpisnice gde je navedena TBS heš vrednost za Microsoft posredni autoritet za izdavanje certifikata (CA).

Microsoft izdavanje CAS-a

Komponente korporacije Microsoft i operativnog sistema Windows potpisane su listom certifikata koje uglavnom izda šest CA-ja za izdavanje korporacije Microsoft. Počev od jula 2025. godine ovi 15-godišnji CA-ovi za objavljivanje počinju da ističu u skladu sa sledećim rasporedom.

Ime ca	TBS heš	Datum isteka važenja
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6. jul 2025.
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6. jul 2025.
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8. jul 2026.
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19. oktobar 2026.
Microsoft Windows komponenta nezavisnog proizvođača CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18. april 2027.

Ime ca	TBS heš
Microsoft Code Signing PCA 2010 zamenjen je sa
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 je zamenjen
Microsoft Windows Component Preproduction CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 zamenjen je sa
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 je zamenjen
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windows komponenta nezavisnih proizvođača CA 2012 zamenjuje se sa
Microsoft Windows komponenta nezavisnog proizvođača CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Iako se to preporučuje, smernice za kontrolu aplikacije koje imaju pravila za potpisnik sa TBS heš vrednostima navedenim u gorenavedenoj tabeli ne moraju da se ažuriraju kako bi imale poverenja u komponente koje su potpisale nove CA-ove 2023 i 2024. Kontrola aplikacije će automatski odrediti pouzdanost novih CA-ova iz 2023. i 2024. godine i njihovih TBS heš vrednosti, ako vaše smernice imaju pravila koja imaju poverenja u trenutne CA-ove.

Na primer, ako smernice veruju računaru za proizvodnju operativnog sistema Windows 2011 pomoću sledećeg pravila, automatski će se proceniti pouzdanost za novi Windows proizvodni računar za proizvodnju 2023. Elementi potpisnik kao što su CertEKU, CertPublisher, FileAttribRef i CertOemId čuvaju se u inferencing logici.

Primeri pravila potpisnik

Pravilo za trenutni potpisnik

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Zamućeno pravilo potpisnik

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Nova logika rukovanja proširuje se i na zabranu pravila potpisnik u smernicama. Dakle, ako ste odbili komponente koje su potpisali postojeći CA-i, te komponente će i dalje biti odbijene kada budu potpisane novim CA-om 2023 i 2024.

Pravilo za trenutni potpisnik

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Zamućeno pravilo potpisnik

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Kompatibilnost

Microsoft je uslužio TBS logiku rukovanja hešom za istek CAs-a na svim podržanim platformama na kojima je kontrola aplikacije podržana u skladu sa sledećom tabelom.

Windows OS	Počevši od ovog izdanja i novijih izdanja
Windows Server 2025	13. maj 2025. – KB5058411 (izdanje operativnog sistema 26100.4061)
Windows 11, verzija 24H2	25. april 2025. – KB5055627(OS Build 26100.3915) Preview
Windows Server, verzija 23H2	13. maj 2025. – KB5058384 (izdanje operativnog sistema 25398.1611)
Windows 11, verzija 22H2 i 23H2	22. april 2025. – KB5055629 (OS 22621.5262 i 22631.5262) Preview
Windows Server 2022	13. maj 2025. – KB5058385 (izdanje operativnog sistema 20348.3692)
Windows 10, verzije 21H2 i 22H2	13. maj 2025. – KB5058379 (izdanja operativnog sistema 19044.5854 i 19045.5854)
Windows 10, verzija 1809 i Windows Server 2019	13. maj 2025. – KB5058392 (izdanje operativnog sistema 17763.7314)
Windows 10, verzija 1607 i Windows Server 2016	13. maj 2025. – KB5058383 (izdanje operativnog sistema 14393.8066)

Kako da odbijete saglasnje

Ako želite da odbijete saglasnosti za sisteme iz TBS heš logike koja je izvršila kontrola aplikacije, postavite sledeću zastavicu u smernicama: Onemogućeno: Podrazumevani Windows certifikat

Podrška za Windows za kontrolu aplikacije za preduzeća , nova ca logika za rukovanje

Uvod

Microsoft izdavanje CAS-a

Primeri pravila potpisnik

Kompatibilnost

Kako da odbijete saglasnje

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!