Нова логіка обробки центру сертифікації windows для керування програмами для бізнесу

Вступ

У статті описано нову логіку обробки керування програмами для бізнесу (колишня назва – Керування програмами в Захиснику Windows (WDAC)) для правил підписувачів, де вказано геш-значення TBS для проміжного центру сертифікації Microsoft.

CAs, що видається корпорацією Майкрософт

Компоненти Microsoft і Windows підписані листковими сертифікатами, в основному виданими шістьма CAs, що випускаються корпорацією Майкрософт. Починаючи з липня 2025 року, термін дії цих 15-річного випуску CAs починає діяти згідно з наступним графіком.

Ім'я центру сертифікації	Геш-код TBS	Дата завершення дії
Підписування коду Microsoft PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	6 липня 2025 р.
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	6 липня 2025 р.
Підписування коду Microsoft PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	8 липня 2026 р.
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	19 жовтня 2026 р.
Microsoft Windows Сторонній компонент CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	18 квітня 2027 р.

Ім'я центру сертифікації	Геш-код TBS
Підписування коду Microsoft PCA 2010 замінено на
Підписування коду Microsoft Windows PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 замінено на
Допродукція компонента Microsoft Windows CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Підписування коду Microsoft PCA 2011 замінено на
Підписування коду Microsoft PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 замінено на
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Компонент Microsoft Windows Third Party CA 2012 замінено на
Microsoft Windows сторонній компонент CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

Хоча рекомендовано, політики керування програмами, які мають правила підписувача зі значеннями гешування TBS, переліченими в таблиці вище, не потрібно оновлювати, щоб довіряти компонентам, підписаним новими CAs 2023 і 2024. Керування програмами автоматично визначатиме довіру новим CAs 2023 і 2024, а також їхнім геш-значенням TBS, якщо ваша політика має правила, які довіряють поточним CAs.

Наприклад, якщо ваша політика довіряє Windows Production PCA 2011, використовуючи наведене нижче правило, довіра до нового PCA Windows Production 2023 буде автоматично визначена. Такі елементи підписувачів, як CertEKU, CertPublisher, FileAttribRef і CertOemId, зберігаються в логіці припущення.

Приклади правил підписувача

Поточне правило підписувача

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

Виведене правило підписувача

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

Нова логіка обробки також поширюється на відхилення правил підписувача в політиці. Таким чином, якщо ви відмовите компонентам, підписаним наявними CAs, ці компоненти будуть і надалі відмовлятися після того, як вони будуть підписані новими CAs 2023 і 2024.

Поточне правило підписувача

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Виведене правило підписувача

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

Сумісність

Корпорація Майкрософт обслуговувала логіку обробки гешування TBS для CAs, що завершується, для всіх підтримуваних платформ, де керування програмами підтримується відповідно до наведеної нижче таблиці.

Windows	Починаючи з цього випуску та пізніших випусків
Windows Server 2025	13 травня 2025 р. – KB5058411 (збірка ОС 26100.4061)
Windows 11 версії 24H2	25 квітня 2025 р. – KB5055627(збірка ОС 26100.3915) Preview
Windows Server версії 23H2	13 травня 2025 р. – KB5058384 (збірка ОС 25398.1611)
Windows 11 версії 22H2 та 23H2	22 квітня 2025 р. – KB5055629 (ОС 22621.5262 і 22631.5262) Preview
Windows Server 2022	13 травня 2025 р. – KB5058385 (збірка ОС 20348.3692)
Windows 10 версії 21H2 та 22H2	13 травня 2025 р. – KB5058379 (збірки ОС 19044.5854 і 19045.5854)
Windows 10 версії 1809 і Windows Server 2019	13 травня 2025 р. – KB5058392 (збірка ОС 17763.7314)
Windows 10 версії 1607 і Windows Server 2016	13 травня 2025 р. – KB5058383 (збірка ОС 14393.8066)

Як відмовитися

Якщо ви хочете відмовитися від логіки гешування TBS, виконаної елементом керування програмами, установіть таку позначку в політиках: Вимкнуто: Сертифікат Windows за промовчанням

Нова логіка обробки центру сертифікації windows для керування програмами для бізнесу

Вступ

CAs, що видається корпорацією Майкрософт

Приклади правил підписувача

Сумісність

Як відмовитися

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Чи ця інформація була корисною?

Дякуємо за відгук!