適用於商務用應用程式控制的新 CA 處理邏輯的 Windows 支援

簡介

本文概述新版商務用應用程式控制 (先前稱為 Windows Defender 應用程式控制 (WDAC)) 處理規則的邏輯，其中指定了Microsoft中級證書頒發機構單位的 TBS 哈希值 (CA) 。

Microsoft發行 CAs

Microsoft和 Windows 元件是以葉片憑證簽署，主要由 6 個 Microsoft 發行 CAs 所發行。從 2025 年 7 月開始，這 15 年的發行版 CAs 會根據下列排程開始到期。

CA 名稱	TBS 哈希	到期日
Microsoft代碼簽署 PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	2025年7月6日
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	2025年7月6日
Microsoft代碼簽署 PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	2026年7月8日
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	2026年10月19日
Microsoft Windows 第三方元件 CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	2027 年 4 月 18 日

CA 名稱	TBS 哈希
Microsoft代碼簽署 PCA 2010 已取代為
Microsoft Windows 程式代碼簽署 PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 已取代為
Microsoft Windows 元件生產前 CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft代碼簽署 PCA 2011 已取代為
Microsoft代碼簽署 PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 已由
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windows 第三方元件 CA 2012 已由
Microsoft Windows 第三方元件 CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

雖然建議使用，但若應用程式控制原則具有上面表格中所列之 TBS 哈希值的簽署者規則，則不需要更新以信任由新 2023 和 2024 CAs 簽署的元件。如果您的原則有信任目前 CAs 的規則，應用程式控制會自動推斷對新 2023 和 2024 CAs 及其 TBS 哈希值的信任。

例如，如果您的原則使用下列規則信任 Windows 生產 PCA 2011，將會自動推斷新 Windows 生產 PCA 2023 的信任。 CertEKU、CertPublisher、FileAttribRef 和 CertOemId 等簽署者元素會保留在推斷邏輯中。

簽章者規則範例

目前的簽章者規則

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

推斷的簽章者規則

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

新的處理邏輯也會延伸到拒絕原則中的簽章者規則。因此，如果您已拒絕由現有 CAs 簽署的元件，一旦使用新的 2023 和 2024 CAs 簽署元件之後，這些元件就會繼續遭到拒絕。

目前的簽章者規則

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

推斷的簽章者規則

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

相容性

Microsoft已根據下表將即將到期之 CAs 的 TBS 哈希處理邏輯服務服務至支援應用程式控制的所有平臺。

Windows OS	從此版本開始和更新版本
Windows Server 2025	2025 年 5 月 13 日 - KB5058411 (作系统组建 26100.4061)
Windows 11 版本 24H2	2025 年 4 月 25 日 - KB5055627 (作系统组建 26100.3915) Preview
Windows Server 版本 23H2	2025 年 5 月 13 日 - KB5058384 (作系统组建 25398.1611)
Windows 11，版本 22H2 和 23H2	2025 年 4 月 22 日 - KB5055629 (作系统 22621.5262 和 22631.5262) Preview
Windows Server 2022	2025 年 5 月 13 日 - KB5058385 (作系统组建 20348.3692)
Windows 10 版本 21H2 和 22H2	2025 年 5 月 13 日 - KB5058379 (作系统组建 19044.5854 和 19045.5854)
Windows 10 1809 版和 Windows Server 2019	2025 年 5 月 13 日 - KB5058392 (作系统组建 17763.7314)
Windows 10，版本 1607 和 Windows Server 2016	2025 年 5 月 13 日 - KB5058383 (作系统组建 14393.8066)

如何退出

如果您要讓系統退出應用程式控制所執行的 TBS 哈希推斷邏輯，請在原則中設定下列標幟：已停用：預設 Windows 憑證

適用於商務用應用程式控制的新 CA 處理邏輯的 Windows 支援

簡介

Microsoft發行 CAs

簽章者規則範例

相容性

如何退出

Need more help?

Want more options?

Was this information helpful?

Thank you for your feedback!