Keine Zusammenfassung verfügbar.
Microsoft aktualisiert die Logik, die von Application Control for Business verwendet wird, um Signiererregeln zu verarbeiten, die auf TBS (To Be Signed)-Hashwerten für Microsoft Intermediate Certificate Authorities (CAs) basieren. Dies erfolgt als Reaktion auf das bevorstehende Ablaufdatum mehrerer 15-jähriger CAs, beginnend im Juli 2025. Die neue Logik ermöglicht es Application Control, automatisch Vertrauen für die neuen CAs aus 2023 und 2024 abzuleiten, sofern Ihre bestehende Richtlinie bereits den älteren CAs vertraut. Signierer-Elemente wie CertEKU, CertPublisher, FileAttribRef und CertOemId bleiben in der Ableitungslogik erhalten.
Wann dies geschieht:
Ab Juli 2025 laufen diese CAs gemäß folgendem Zeitplan ab:
- 6. Juli 2025 – Microsoft Code Signing PCA 2010
- 6. Juli 2025 – Microsoft Windows PCA 2010
- 8. Juli 2026 – Microsoft Code Signing PCA 2011
- 19. Oktober 2026 – Windows Production PCA 2011
- 18. April 2027 – Microsoft Windows Third Party Component CA 2012
Wie sich dies auf Ihre Organisation auswirkt:
Microsoft hat die TBS-Hash-Verarbeitungslogik für die auslaufenden CAs für alle unterstützten Windows-Versionen, auf denen Application Control unterstützt wird, bereitgestellt, beginnend mit folgenden Releases:
- Windows Server 2025: 13. Mai 2025 – KB5058411
- Windows 11, Version 24H2: 25. April 2025 – KB5055627
- Windows Server, Version 23H2: 13. Mai 2025 – KB5058384
- Windows 11, Version 22H2 und 23H2: 22. April 2025 – KB5055629
- Windows Server 2022: 13. Mai 2025 – KB5058385
- Windows 10, Versionen 21H2 und 22H2: 13. Mai 2025 – KB5058379
- Windows 10 Enterprise LTSC 2019 und Windows Server 2019: 13. Mai 2025 – KB5058392
- Windows 10 Enterprise LTSB 2016 und Windows Server 2016: 13. Mai 2025 – KB5058383
Was Sie zur Vorbereitung tun müssen:
Stellen Sie sicher, dass Ihre Systeme mit den oben genannten oder späteren Updates aktualisiert werden. Es sind keine Richtlinienaktualisierungen erforderlich, wenn Ihre bestehenden Regeln die auslaufenden CAs referenzieren. Windows wird das Vertrauen nahtlos auf die neuen CAs aus 2023 und 2024 über Windows-Updates erweitern.
Wenn Sie sich gegen die TBS-Hash-Ableitungslogik von Application Control entscheiden möchten, setzen Sie in Ihren Richtlinien die folgende Flagge: Disabled:Default Windows Certificate Remapping.
Zusätzliche Informationen: