適用於商務用應用程式控制的新 CA 處理邏輯的 Windows 支援

簡介

本文概述新版商務用應用程式控制 (先前稱為 Windows Defender 應用程式控制 (WDAC)) 處理規則的邏輯，其中指定了Microsoft中級證書頒發機構單位的 TBS 哈希值 (CA) 。

Microsoft發行 CAs

Microsoft和 Windows 元件是以葉片憑證簽署，主要由 6 個 Microsoft 發行 CAs 所發行。從 2025 年 7 月開始，這 15 年的發行版 CAs 會根據下列排程開始到期。

CA 名稱	TBS 哈希	到期日
Microsoft代碼簽署 PCA 2010	`121AF4B922A74247EA49DF50DE37609CC1451A1FE06B2CB7E1E079B492BD8195`	2025年7月6日
Microsoft Windows PCA 2010	`90C9669670E75989159E6EEF69625EB6AD17CBA6209ED56F5665D55450A05212`	2025年7月6日
Microsoft代碼簽署 PCA 2011	`F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E`	2026年7月8日
Windows Production PCA 2011	`4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146`	2026年10月19日
Microsoft Windows 第三方元件 CA 2012	`CEC1AFD0E310C55C1DCC601AB8E172917706AA32FB5EAF826813547FDF02DD46`	2027 年 4 月 18 日

CA 名稱	TBS 哈希
Microsoft代碼簽署 PCA 2010 已取代為
Microsoft Windows 程式代碼簽署 PCA 2024	`C64CE3455898F871D11C14DA412AAC58FA2022D4213D8AC05F8DD6909B2FB0FCC76C19A1913DF5BC0CB1662229AD15D1`
Microsoft Windows PCA 2010 已取代為
Microsoft Windows 元件生產前 CA 2024	`84A5BD1CCB7CD6509FF7214F4BA27D51CCF72BE2AC4AA7F0E97BC066FC804EBB635E8305D7D1108F89B4CF7BB2CAFED9`
Microsoft代碼簽署 PCA 2011 已取代為
Microsoft代碼簽署 PCA 2024	`B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE`
Windows Production PCA 2011 已由
Windows Production PCA 2023	`34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD`
Microsoft Windows 第三方元件 CA 2012 已由
Microsoft Windows 第三方元件 CA 2024	`FFFA64ABBB400583B3F812A196A8AF7ABF329D4882F26221A142D734620B759D1E168537CC6DA74807C2E20C70DA7B78`

雖然建議使用，但若應用程式控制原則具有上面表格中所列之 TBS 哈希值的簽署者規則，則不需要更新以信任由新 2023 和 2024 CAs 簽署的元件。如果您的原則有信任目前 CAs 的規則，應用程式控制會自動推斷對新 2023 和 2024 CAs 及其 TBS 哈希值的信任。

例如，如果您的原則使用下列規則信任 Windows 生產 PCA 2011，將會自動推斷新 Windows 生產 PCA 2023 的信任。 CertEKU、CertPublisher、FileAttribRef 和 CertOemId 等簽署者元素會保留在推斷邏輯中。

簽章者規則範例

目前的簽章者規則

<Signer ID="ID_SIGNER_WINDOWS_CA_1" Name="Microsoft Windows Production PCA 2011"> 

  <CertRoot Type="TBS" Value="4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" /> 

  <CertEKU ID="ID_EKU_WINDOWS" /> 

</Signer>

推斷的簽章者規則

<Signer ID="ID_SIGNER_WINDOWS_CA_2" Name=" Windows Production PCA 2023 "> 

  <CertRoot Type="TBS" Value=" 34EEC0CD7321C9C20309BEF31164D92B88E892341DE67FE2684D9E7FDA09C9E46B05498FB38E29B421E845FEB8C7A4CD " /> 

  <CertEKU ID="ID_EKU_WINDOWS" />     

</Signer>

新的處理邏輯也會延伸到拒絕原則中的簽章者規則。因此，如果您已拒絕由現有 CAs 簽署的元件，一旦使用新的 2023 和 2024 CAs 簽署元件之後，這些元件就會繼續遭到拒絕。

目前的簽章者規則

<Signer ID="ID_SIGNER_DENY_FOO_1" Name="Microsoft Code Signing PCA 2011”> 

  <CertRoot Type="TBS" Value=" F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

推斷的簽章者規則

<Signer ID="ID_SIGNER_DENY_FOO_2" Name = “Microsoft Code Signing PCA 2024”> 

  <CertRoot Type="TBS" Value=" B52C1E712CF71D080614DDF95F8258BE0738C0722BD8A55F0AF4361BACEE35B6D73DCACB1B9DE10B5FD28508A3A50EAE" /> 

  <CertPublisher Value="Microsoft Corporation" /> 

  <FileAttribRef RuleID="ID_FILEATTRIB_DENY_FOO" /> 

</Signer>

相容性

Microsoft已根據下表將即將到期之 CAs 的 TBS 哈希處理邏輯服務服務至支援應用程式控制的所有平臺。

Windows OS	從此版本開始和更新版本
Windows Server 2025	2025 年 5 月 13 日 - KB5058411 (作系统组建 26100.4061)
Windows 11 版本 24H2	2025 年 4 月 25 日 - KB5055627 (作系统组建 26100.3915) Preview
Windows Server 版本 23H2	2025 年 5 月 13 日 - KB5058384 (作系统组建 25398.1611)
Windows 11，版本 22H2 和 23H2	2025 年 4 月 22 日 - KB5055629 (作系统 22621.5262 和 22631.5262) Preview
Windows Server 2022	2025 年 5 月 13 日 - KB5058385 (作系统组建 20348.3692)
Windows 10 版本 21H2 和 22H2	2025 年 5 月 13 日 - KB5058379 (作系统组建 19044.5854 和 19045.5854)
Windows 10 1809 版和 Windows Server 2019	2025 年 5 月 13 日 - KB5058392 (作系统组建 17763.7314)
Windows 10，版本 1607 和 Windows Server 2016	2025 年 5 月 13 日 - KB5058383 (作系统组建 14393.8066)

如何退出

如果您要讓系統退出應用程式控制所執行的 TBS 哈希推斷邏輯，請在原則中設定下列標幟：已停用：預設 Windows 憑證

適用於商務用應用程式控制的新 CA 處理邏輯的 Windows 支援

簡介

Microsoft發行 CAs

簽章者規則範例

相容性

如何退出

需要更多協助嗎?

想要其他選項嗎?

這項資訊有幫助嗎?

感謝您的意見反應!