Windows-stöd för den nya ca-hanteringslogik för Programkontroll för företag

Introduktion

I artikeln beskrivs den nya WDAC-hanteringslogik för programkontroll ( tidigare Windows Defender-programreglering) för signerregler där ett TBS-hashvärde för en Microsoft-certifikatutfärdare (CA) anges.

Microsoft utfärdar fullmakter

Microsoft- och Windows-komponenter signeras av bladcertifikat som huvudsakligen utfärdas av sex certifikatutfärdare från Microsoft. Från och med juli 2025 börjar dessa 15-åriga utfärdande fullmakter att upphöra enligt följande schema.

CA-namn	TBS-hash	Förfallodatum
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	den 6 juli 2025
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	den 6 juli 2025
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	den 8 juli 2026
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	den 19 oktober 2026
Microsoft Windows Third Party Component CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	den 18 april 2027

CA-namn	TBS-hash
Microsoft Code Signing PCA 2010 ersätts med
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 ersätts med
Microsoft Windows Component Preproduction CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 ersätts med
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 ersätts med
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windows Third Party Component CA 2012 ersätts med
Microsoft Windows Third Party Component CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Vi rekommenderar att programkontrollprinciper som har Signer-regler med TBS-hashvärden som anges i tabellen ovan inte behöver uppdateras för att lita på de komponenter som signerats av de nya certifikatutfärdarna 2023 och 2024. Programkontroll härleder automatiskt förtroende för de nya 2023- och 2024-certifikatutfärdarna och deras TBS-hashvärden, om principen har regler som litar på de aktuella certifikatutfärdarna.

Om principen till exempel litar på Windows-produktions-PCA 2011 med följande regel, antas förtroende för den nya Windows-produktions-PCA 2023 automatiskt. Signerelement som CertEKU, CertPublisher, FileAttribRef och CertOemId bevaras i inferencing-logiken.

Exempel på signerregel

Aktuell signerregel

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Härledd signerregel

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Den nya hanteringslogik omfattar också att neka signerregler i principen. Om du har nekat komponenter som signerats av de befintliga fullmakterna kommer dessa komponenter att fortsätta att nekas när de har signerats med de nya 2023- och 2024-fullmakterna.

Aktuell signerregel

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Härledd signerregel

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Kompatibilitet

Microsoft har underhållat tbs hash-hanteringslogik för de förfallna CA:erna på alla plattformar som stöds där Programkontroll stöds enligt följande tabell.

Windows OS	Från och med den här versionen och senare versioner
Windows Server 2025	13 maj 2025 – KB5058411 (OS-version 26100.4061)
Windows 11, version 24H2	25 april 2025 – förhandsversion av KB5055627(OS-version 26100.3915)
Windows Server, version 23H2	13 maj 2025 – KB5058384 (OS-version 25398.1611)
Windows 11 version 22H2 och 23H2	22 april 2025 – KB5055629 (OS 22621.5262 och 22631.5262) – förhandsversion
Windows Server 2022	13 maj 2025 – KB5058385 (OS-version 20348.3692)
Windows 10 versionerna 21H2 och 22H2	13 maj 2025 – KB5058379 (OS-versioner 19044.5854 och 19045.5854)
Windows 10 version 1809 och Windows Server 2019	13 maj 2025 – KB5058392 (OS-version 17763.7314)
Windows 10 version 1607 och Windows Server 2016	13 maj 2025 – KB5058383 (OS-version 14393.8066)

Så här avregistrerar du dig

Om du vill avanmäla dina system från den TBS-hash-inferencinglogik som utförs av programkontrollen anger du följande flagga i principer: Inaktiverad: Standard-Windows-certifikat

Windows-stöd för den nya ca-hanteringslogik för Programkontroll för företag

Introduktion

Microsoft utfärdar fullmakter

Exempel på signerregel

Kompatibilitet

Så här avregistrerar du dig

Behöver du mer hjälp?

Vill du ha fler alternativ?

Hade du nytta av den här informationen?

Tack för din feedback!