İş için Uygulama Denetimi yeni CA işleme mantığı için Windows desteği

Giriş

Makalede, Microsoft ara sertifika yetkilisi (CA) için TBS karma değerinin belirtildiği imzalayan kuralları için yeni İş Için Uygulama Denetimi (eski adıyla Windows Defender Uygulama Denetimi (WDAC)) işleme mantığı özetlenmektedir.

Microsoft Veren CA'lar

Microsoft ve Windows bileşenleri, çoğunlukla altı Microsoft Veren CA tarafından verilen yaprak sertifikalarla imzalanır. Temmuz 2025'te başlayan bu 15 yıllık Ca'ların süresi aşağıdaki zamanlamaya göre dolmaya başlar.

CA Adı	TBS karması	Son Kullanma Tarihi
Microsoft Kod İmzalama PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6 Temmuz 2025, Temmuz 2025, Temmuz 2025, Temmuz 2025
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6 Temmuz 2025, Temmuz 2025, Temmuz 2025, Temmuz 2025
Microsoft Kod İmzalama PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8 Temmuz 2026, Temmuz 2026, Temmuz 2026, Temmuz 2026
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19 Ekim 2026, Cumartesi
Microsoft Windows Üçüncü Taraf Bileşeni CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18 Nisan 2027, İstanbul

CA adı	TBS karması
Microsoft Kod İmzalama PCA 2010 yerine
Microsoft Windows Code İmzalama PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 ile değiştirildi
Microsoft Windows Bileşeni Ön Üretim CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft Kod İmzalama PCA 2011 yerine
Microsoft Kod İmzalama PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 ile değiştirildi
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windows Üçüncü Taraf Bileşeni CA 2012 ile değiştirildi
Microsoft Windows Üçüncü Taraf Bileşeni CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Önerilen bir durum olsa da, yukarıdaki tabloda listelenen TBS karma değerlerine sahip İmzalayan kuralları olan Uygulama Denetimi ilkelerinin, yeni 2023 ve 2024 CA'ları tarafından imzalanan bileşenlere güvenecek şekilde güncelleştirilmesi gerekmez. İlkenizde geçerli CA'lara güvenen kurallar varsa, Uygulama Denetimi yeni 2023 ve 2024 CA'larının ve bunların TBS karma değerlerinin güvenini otomatik olarak çıkarsar.

Örneğin, ilkeniz aşağıdaki kuralı kullanarak Windows Production PCA 2011'e güveniyorsa, yeni Windows Production PCA 2023'e olan güven otomatik olarak çıkarılır. CertEKU, CertPublisher, FileAttribRef ve CertOemId gibi imzalayan öğeleri çıkarım mantığında korunur.

İmzalayan Kuralı örnekleri

Geçerli İmzalayan Kuralı

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Çıkarımlı İmzalayan Kuralı

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Yeni işleme mantığı, ilkedeki imzalayan kurallarını reddetmek için de genişletir. Bu nedenle, mevcut CA'lar tarafından imzalanan bileşenleri reddettiyseniz, bu bileşenler yeni 2023 ve 2024 CA'larıyla imzalandıktan sonra reddedilmeye devam eder.

Geçerli İmzalayan Kuralı

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Çıkarımlı İmzalayan Kuralı

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Uyumluluk

Microsoft, süresi dolan CA'lar için TBS karma işleme mantığına aşağıdaki tabloya göre Uygulama Denetimi'nin desteklendiği tüm desteklenen platformlara hizmet vemiştir.

Windows OS	Bu sürümden ve sonraki sürümlerden başlayarak
Windows Sunucu 2025	13 Mayıs 2025—KB5058411 (İs Derlemesi 26100.4061)
Windows 11, sürüm 24H2	25 Nisan 2025—KB5055627(İs Derlemesi 26100.3915) Önizleme
Windows Server, sürüm 23H2	13 Mayıs 2025—KB5058384 (İs Derlemesi 25398.1611)
Windows 11, sürüm 22H2 ve 23H2	22 Nisan 2025—KB5055629 (İs 22621.5262 ve 22631.5262) Önizleme
Windows Server 2022	13 Mayıs 2025—KB5058385 (İs Derlemesi 20348.3692)
Windows 10, sürüm 21H2 ve 22H2	13 Mayıs 2025—KB5058379 (İs Derlemeleri 19044.5854 ve 19045.5854)
Windows 10, sürüm 1809 ve Windows Server 2019	13 Mayıs 2025—KB5058392 (İs Derlemesi 17763.7314)
Windows 10, sürüm 1607 ve Windows Server 2016	13 Mayıs 2025—KB5058383 (İs Derlemesi 14393.8066)

Geri çevirme

Sistemlerinizi Uygulama Denetimi tarafından gerçekleştirilen TBS karma çıkarım mantığını geri çevirmek istiyorsanız, ilkelerde şu bayrağı ayarlayın: Devre Dışı: Varsayılan Windows Sertifikası

İş için Uygulama Denetimi yeni CA işleme mantığı için Windows desteği

Giriş

Microsoft Veren CA'lar

İmzalayan Kuralı örnekleri

Uyumluluk

Geri çevirme

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Bu bilgi yararlı oldu mu?

Geri bildiriminiz için teşekkürler!