适用于企业的应用程序控制新 CA 处理逻辑的 Windows 支持

简介

本文概述了新的企业应用程序控制 (以前称为 Windows Defender 应用程序控制 (WDAC)) 处理签名者规则的逻辑，其中指定了Microsoft中间证书颁发机构的 TBS 哈希值 (CA) 。

Microsoft颁发 CA

Microsoft和 Windows 组件由主要由六个颁发 CA 的Microsoft颁发的叶证书进行签名。从 2025 年 7 月开始，这些为期 15 年的发行 CA 开始按照以下计划到期。

CA 名称	TBS 哈希	到期日期
Microsoft代码签名 PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	2025 年 7 月 6 日
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	2025 年 7 月 6 日
Microsoft代码签名 PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	2026 年 7 月 8 日
Windows 生产 PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	2026 年 10 月 19 日
Microsoft Windows 第三方组件 CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	2027 年 4 月 18 日

CA 名称	TBS 哈希
Microsoft代码签名 PCA 2010 替换为
Microsoft Windows 代码签名 PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 替换为
Microsoft Windows 组件预生产 CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft代码签名 PCA 2011 替换为
Microsoft代码签名 PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows 生产 PCA 2011 已替换为
Windows 生产 PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windows 第三方组件 CA 2012 替换为
Microsoft Windows 第三方组件 CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

虽然建议使用上表中列出的 TBS 哈希值具有签名者规则的应用程序控制策略不需要更新，即可信任由新的 2023 和 2024 CA 签名的组件。如果策略具有信任当前 CA 的规则，应用程序控制将自动推断新 2023 和 2024 CA 及其 TBS 哈希值的信任。

例如，如果策略使用以下规则信任 Windows 生产 PCA 2011，则将自动推断对新 Windows 生产 PCA 2023 的信任。 CertEKU、CertPublisher、FileAttribRef 和 CertOemId 等签名者元素保留在推理逻辑中。

签名者规则示例

当前签名者规则

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

推断的签名者规则

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

新的处理逻辑还会扩展到拒绝策略中的签名者规则。因此，如果已拒绝现有 CA 签名的组件，则使用这些组件使用新的 2023 和 2024 CA 进行签名后，将继续拒绝这些组件。

当前签名者规则

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

推断的签名者规则

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

兼容性

根据下表，Microsoft已将即将到期的 CA 的 TBS 哈希处理逻辑服务到支持应用程序控制的所有受支持平台。

Windows 操作系统	开始此版本和更高版本
Windows Server 2025	2025 年 5 月 13 日 — KB5058411 (OS 内部版本 26100.4061)
Windows 11 版本 24H2	2025 年 4 月 25 日 - KB5055627 (OS 内部版本 26100.3915) 预览版
Windows Server 版本 23H2	2025 年 5 月 13 日 - KB5058384 (OS 内部版本 25398.1611)
Windows 11版本 22H2 和 23H2	2025 年 4 月 22 日 — KB5055629 (OS 22621.5262 和 22631.5262) 预览版
Windows Server 2022	2025 年 5 月 13 日 — KB5058385 (OS 内部版本 20348.3692)
Windows 10版本 21H2 和 22H2	2025 年 5 月 13 日 — KB5058379 (作系统内部版本 19044.5854 和 19045.5854)
Windows 10 版本 1809 和 Windows Server 2019	2025 年 5 月 13 日 — KB5058392 (作系统内部版本 17763.7314)
Windows 10 版本 1607 和 Windows Server 2016	2025 年 5 月 13 日 — KB5058383 (OS 内部版本 14393.8066)

如何选择退出

如果要选择系统退出应用程序控制执行的 TBS 哈希推理逻辑，请在策略中设置以下标志：禁用：默认 Windows 证书

适用于企业的应用程序控制新 CA 处理逻辑的 Windows 支持

简介

Microsoft颁发 CA

签名者规则示例

兼容性

如何选择退出

需要更多帮助?

需要更多选项?

此信息是否有帮助?

谢谢您的反馈！