Ngày phát hành ban đầu: Ngày 20 tháng 5 năm 2025
KB ID: 5061682
Giới thiệu
Bài viết phác thảo Kiểm soát Ứng dụng mới dành cho Doanh nghiệp (trước đây gọi là Kiểm soát Ứng dụng của Bộ bảo vệ Windows (WDAC)) xử lý lô-gic cho các quy tắc người ký trong đó giá trị băm TBS cho cơ quan cấp chứng chỉ trung gian của Microsoft (CA) được chỉ định.
CAs Phát hành của Microsoft
Các cấu phần của Microsoft và Windows được ký bằng chứng chỉ leaf chủ yếu được cấp bởi sáu CAs Phát hành của Microsoft. Bắt đầu từ tháng 7 năm 2025, các CAs phát hành 15 năm này bắt đầu hết hạn theo lịch trình sau đây.
|
Tên CA |
Hàm băm TBS |
Ngày Hết hạn |
|
Microsoft Code Signing PCA 2010 |
|
Ngày 6 tháng 7 năm 2025 |
|
Microsoft Windows PCA 2010 |
|
Ngày 6 tháng 7 năm 2025 |
|
PcA Ký Mã Microsoft 2011 |
|
Ngày 8 tháng 7 năm 2026 |
|
Windows Production PCA 2011 |
|
Ngày 19 tháng 10 năm 2026 |
|
Microsoft Windows Third Party Component CA 2012 |
|
Ngày 18 tháng 4 năm 2027 |
|
Tên CA |
Hàm băm TBS |
|
Ký Mã Microsoft PCA 2010 được thay thế bằng |
|
|
Microsoft Windows Code Signing PCA 2024 |
|
|
Microsoft Windows PCA 2010 được thay thế bằng |
|
|
Microsoft Windows Component Preproduction CA 2024 |
|
|
Ký Mã Microsoft PCA 2011 được thay thế bằng |
|
|
Microsoft Code Signing PCA 2024 |
|
|
Windows Production PCA 2011 được thay thế bằng |
|
|
Windows Production PCA 2023 |
|
|
Microsoft Windows Third Party Component CA 2012 được thay thế bằng |
|
|
Microsoft Windows Third Party Component CA 2024 |
|
Mặc dù được khuyến nghị nhưng các chính sách Kiểm soát Ứng dụng có quy tắc Người ký với các giá trị băm TBS được liệt kê trong bảng trên không cần phải được cập nhật để tin cậy các cấu phần được ký bởi các CAs mới năm 2023 và 2024. Kiểm soát Ứng dụng sẽ tự động suy ra độ tin cậy của các CAs 2023 và 2024 mới và giá trị băm TBS của họ, nếu chính sách của bạn có các quy tắc tin cậy các CAs hiện tại.
Ví dụ: nếu chính sách của bạn tin tưởng Windows Production PCA 2011 bằng cách sử dụng quy tắc sau đây, tin tưởng cho Windows Production PCA 2023 mới sẽ tự động được suy ra. Các thành phần của người ký như CertEKU, CertPublisher, FileAttribRef và CertOemId được giữ nguyên trong lô-gic suy luận.
Ví dụ về Quy tắc Người ký
Quy tắc Người ký Hiện tại
|
Quy tắc Người ký Suy ra
|
Lô-gic xử lý mới cũng mở rộng đến từ chối quy tắc người ký trong chính sách. Vì vậy, nếu bạn đã từ chối các cấu phần được ký bởi các CAs hiện có, các cấu phần đó sẽ tiếp tục bị từ chối sau khi chúng được ký với các CAs 2023 và 2024 mới.
Quy tắc Người ký Hiện tại
|
Quy tắc Người ký Suy ra
|
Tính tương thích
Microsoft đã cung cấp dịch vụ lô-gic xử lý hàm băm TBS cho CAs sắp hết hạn cho tất cả các nền tảng được hỗ trợ trong đó Kiểm soát Ứng dụng được hỗ trợ theo bảng sau đây.
|
Hệ điều hành Windows |
Bắt đầu bản phát hành này và các bản phát hành sau này |
|
Windows Server 2025 |
Ngày 13 tháng 5 năm 2025—KB5058411 (HĐH Bản dựng 26100.4061) |
|
Windows 11, phiên bản 24H2 |
Ngày 25 tháng 4 năm 2025—KB5055627(Bản dựng HĐH 26100.3915) Preview |
|
Windows Server, phiên bản 23H2 |
Ngày 13 tháng 5 năm 2025—KB5058384 (Bản dựng HĐH 25398.1611) |
|
Windows 11, phiên bản 22H2 và 23H2 |
Ngày 22 tháng 4 năm 2025—KB5055629 (HĐH 22621.5262 và 22631.5262) Preview |
|
Windows Server 2022 |
Ngày 13 tháng 5 năm 2025—KB5058385 (HĐH Bản dựng 20348.3692) |
|
Windows 10, phiên bản 21H2 và 22H2 |
Ngày 13 tháng 5 năm 2025—KB5058379 (Bản dựng HĐH 19044.5854 và 19045.5854) |
|
Windows 10, phiên bản 1809 và Windows Server 2019 |
Ngày 13 tháng 5 năm 2025—KB5058392 (Bản dựng HĐH 17763.7314) |
|
Windows 10, phiên bản 1607 và Windows Server 2016 |
Ngày 13 tháng 5 năm 2025—KB5058383 (Bản dựng HĐH 14393.8066) |
Cách chọn không tham gia
Nếu bạn muốn chọn không cho hệ thống của mình không tham gia lô-gic hội thảo băm TBS do Kiểm soát Ứng dụng thực hiện, hãy đặt cờ sau đây trong chính sách: Đã tắt: Chứng chỉ Windows Mặc định
