การสนับสนุน Windows สําหรับตรรกะการจัดการ CA ใหม่ของการควบคุมแอปพลิเคชันสําหรับธุรกิจ

บทนำ

บทความนี้สรุปการควบคุมแอปพลิเคชันสําหรับธุรกิจ (เดิมเรียกว่า ตรรกะการจัดการแอปพลิเคชัน Windows Defender (WDAC)) สําหรับกฎผู้เซ็นชื่อที่มีการระบุค่าแฮช TBS สําหรับผู้ให้บริการออกใบรับรอง (CA) ระดับกลางของ Microsoft

Microsoft Issuing CAs

คอมโพเนนต์ของ Microsoft และ Windows ได้รับการเซ็นชื่อด้วยใบรับรองใบไม้ซึ่งส่วนใหญ่ออกให้โดย MICROSOFT Issuing CAs หกราย ตั้งแต่เดือนกรกฎาคม 2025 CAs ที่ออก 15 ปีเหล่านี้จะเริ่มหมดอายุตามกําหนดการต่อไปนี้

ชื่อ CA	แฮช TBS	วันหมดอายุ
Microsoft Code Signing PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	วันที่ 6 กรกฎาคม 2568
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	วันที่ 6 กรกฎาคม 2568
Microsoft Code Signing PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	วันที่ 8 กรกฎาคม 2569
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	วันที่ 19 ตุลาคม 2569
คอมโพเนนต์ของบริษัทอื่นของ Microsoft Windows CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	วันที่ 18 เมษายน 2027

ชื่อ CA	แฮช TBS
Microsoft Code Signing PCA 2010 ถูกแทนที่ด้วย
Microsoft Windows Code Signing PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 ถูกแทนที่ด้วย
Microsoft Windows Component Preproduction CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Code Signing PCA 2011 ถูกแทนที่ด้วย
Microsoft Code Signing PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 ถูกแทนที่ด้วย
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
คอมโพเนนต์ของบริษัทอื่นของ Microsoft Windows CA 2012 ถูกแทนที่ด้วย
คอมโพเนนต์ของบริษัทอื่นของ Microsoft Windows CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

ในขณะที่แนะนํา นโยบายการควบคุมแอปพลิเคชันที่มีกฎผู้เซ็นชื่อที่มีค่าแฮช TBS ที่แสดงอยู่ในตารางข้างต้นไม่จําเป็นต้องได้รับการอัปเดตเพื่อให้เชื่อถือคอมโพเนนต์ที่เซ็นชื่อโดย 2023 และ 2024 CAs ใหม่ การควบคุมแอปพลิเคชันจะสรุปความเชื่อถือของ 2023 และ 2024 CAs ใหม่ และค่าแฮช TBS โดยอัตโนมัติ ถ้านโยบายของคุณมีกฎที่เชื่อถือ CAs ปัจจุบัน

ตัวอย่างเช่น หากนโยบายของคุณเชื่อถือพีซี Windows Production PCA 2011 โดยใช้กฎต่อไปนี้ ความเชื่อถือสําหรับ Windows Production PCA 2023 ใหม่จะถูกอนุมานโดยอัตโนมัติ องค์ประกอบผู้เซ็นชื่อ เช่น CertEKU, CertPublisher, FileAttribRef และ CertOemId จะถูกเก็บรักษาไว้ในตรรกะการอนุมาน

ตัวอย่างกฎของผู้เซ็นชื่อ

กฎของผู้เซ็นชื่อปัจจุบัน

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

กฎของผู้เซ็นชื่อที่ถูกดึงข้อมูล

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

ตรรกะการจัดการแบบใหม่ยังขยายเพื่อปฏิเสธกฎของผู้เซ็นชื่อในนโยบายด้วย ดังนั้น หากคุณได้ปฏิเสธคอมโพเนนต์ที่เซ็นชื่อโดย CAs ที่มีอยู่ คอมโพเนนต์เหล่านั้นจะยังคงถูกปฏิเสธต่อไปเมื่อมีการเซ็นชื่อด้วย 2023 และ 2024 CAs ใหม่

กฎของผู้เซ็นชื่อปัจจุบัน

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

กฎของผู้เซ็นชื่อที่ถูกดึงข้อมูล

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

ความเข้ากันได้

Microsoft ได้ให้บริการตรรกะการจัดการแฮช TBS สําหรับ CAs ที่หมดอายุไปยังแพลตฟอร์มที่ได้รับการสนับสนุนทั้งหมด ซึ่งการควบคุมแอปพลิเคชันได้รับการสนับสนุนตามตารางต่อไปนี้

Windows OS	เริ่มต้นการเผยแพร่นี้และรุ่นที่ใหม่กว่า
Windows Server 2025	13 พฤษภาคม 2025—KB5058411 (ระบบปฏิบัติการรุ่น 26100.4061)
Windows 11 เวอร์ชัน 24H2	ตัวอย่างวันที่ 25 เมษายน 2025 —KB5055627(ระบบปฏิบัติการรุ่น 26100.3915)
Windows Server เวอร์ชัน 23H2	13 พฤษภาคม 2025—KB5058384 (ระบบปฏิบัติการรุ่น 25398.1611)
Windows 11 เวอร์ชัน 22H2 และ 23H2	ตัวอย่างวันที่ 22 เมษายน 2025 —KB5055629 (ระบบปฏิบัติการ 22621.5262 และ 22631.5262)
Windows Server 2022	13 พฤษภาคม 2025—KB5058385 (ระบบปฏิบัติการรุ่น 20348.3692)
Windows 10 เวอร์ชัน 21H2 และ 22H2	13 พฤษภาคม 2025—KB5058379 (ระบบปฏิบัติการรุ่น 19044.5854 และ 19045.5854)
Windows 10 เวอร์ชัน 1809 และ Windows Server 2019	13 พฤษภาคม 2025—KB5058392 (ระบบปฏิบัติการรุ่น 17763.7314)
Windows 10 เวอร์ชัน 1607 และ Windows Server 2016	13 พฤษภาคม 2025—KB5058383 (ระบบปฏิบัติการรุ่น 14393.8066)

วิธีปฏิเสธเข้าร่วม

หากคุณต้องการเลือกให้ระบบของคุณออกจากตรรกะการอนุมานแฮชของ TBS ที่ดําเนินการโดยการควบคุมแอปพลิเคชัน ให้ตั้งค่าสถานะต่อไปนี้ในนโยบาย: ปิดใช้งาน: ใบรับรอง Windows เริ่มต้น

การสนับสนุน Windows สําหรับตรรกะการจัดการ CA ใหม่ของการควบคุมแอปพลิเคชันสําหรับธุรกิจ

บทนำ

Microsoft Issuing CAs

ตัวอย่างกฎของผู้เซ็นชื่อ

ความเข้ากันได้

วิธีปฏิเสธเข้าร่วม

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

ข้อมูลนี้เป็นประโยชน์หรือไม่

ขอบคุณสำหรับคำติชมของคุณ!