Застосовується до
Windows 10 Windows 11

Вихідна дата публікації: 20 травня 2025 р.

Ідентифікатор KB: 5061682

Вступ

У статті описано нову логіку обробки керування програмами для бізнесу (колишня назва – Керування програмами в Захиснику Windows (WDAC)) для правил підписувачів, де вказано геш-значення TBS для проміжного центру сертифікації Microsoft.

CAs, що видається корпорацією Майкрософт

Компоненти Microsoft і Windows підписані листковими сертифікатами, в основному виданими шістьма CAs, що випускаються корпорацією Майкрософт. Починаючи з липня 2025 року, термін дії цих 15-річного випуску CAs починає діяти згідно з наступним графіком.

Ім'я центру сертифікації

Геш-код TBS

Дата завершення дії

Підписування коду Microsoft PCA 2010

121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195 

6 липня 2025 р.

Microsoft Windows PCA 2010

90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212

6 липня 2025 р.

Підписування коду Microsoft PCA 2011

F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E

8 липня 2026 р.

Windows Production PCA 2011

4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146

19 жовтня 2026 р.

Microsoft Windows Сторонній компонент CA 2012

CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46

18 квітня 2027 р.

Хоча рекомендовано, політики керування програмами, які мають правила підписувача зі значеннями гешування TBS, переліченими в таблиці вище, не потрібно оновлювати, щоб довіряти компонентам, підписаним новими CAs 2023 і 2024. Керування програмами автоматично визначатиме довіру новим CAs 2023 і 2024, а також їхнім геш-значенням TBS, якщо ваша політика має правила, які довіряють поточним CAs.

Наприклад, якщо ваша політика довіряє Windows Production PCA 2011, використовуючи наведене нижче правило, довіра до нового PCA Windows Production 2023 буде автоматично визначена. Такі елементи підписувачів, як CertEKU, CertPublisher, FileAttribRef і CertOemId, зберігаються в логіці припущення. 

Приклади правил підписувача

Поточне правило підписувача

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer> 

Виведене правило підписувача

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer> 

Нова логіка обробки також поширюється на відхилення правил підписувача в політиці. Таким чином, якщо ви відмовите компонентам, підписаним наявними CAs, ці компоненти будуть і надалі відмовлятися після того, як вони будуть підписані новими CAs 2023 і 2024. 

Сумісність

Корпорація Майкрософт обслуговувала логіку обробки гешування TBS для CAs, що завершується, для всіх підтримуваних платформ, де керування програмами підтримується відповідно до наведеної нижче таблиці.

Windows 

Починаючи з цього випуску та пізніших випусків

Windows Server 2025 

13 травня 2025 р. – KB5058411 (збірка ОС 26100.4061)

Windows 11 версії 24H2 

25 квітня 2025 р. – KB5055627(збірка ОС 26100.3915) Preview

Windows Server версії 23H2 

13 травня 2025 р. – KB5058384 (збірка ОС 25398.1611)

Windows 11 версії 22H2 та 23H2

22 квітня 2025 р. – KB5055629 (ОС 22621.5262 і 22631.5262) Preview

Windows Server 2022 

13 травня 2025 р. – KB5058385 (збірка ОС 20348.3692)

Windows 10 версії 21H2 та 22H2 

13 травня 2025 р. – KB5058379 (збірки ОС 19044.5854 і 19045.5854)

Windows 10 версії 1809 і Windows Server 2019 

13 травня 2025 р. – KB5058392 (збірка ОС 17763.7314)

Windows 10 версії 1607 і Windows Server 2016  

13 травня 2025 р. – KB5058383 (збірка ОС 14393.8066)

Як відмовитися

Якщо ви хочете відмовитися від логіки гешування TBS, виконаної елементом керування програмами, установіть таку позначку в політиках: Вимкнуто: Сертифікат Windows за промовчанням

​​​​​​​

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.