| MC1096052 | Windows add support for the new certificate authority handling logic in Application Control for Business |
|---|
| Classification | stayInformed |
|---|---|
| Last Updated | 07/02/2025 19:36:42 |
| Start Time | 07/02/2025 19:36:41 |
| End Time | 07/02/2026 19:36:41 |
| Message Content |
Microsoft is updating the logic used by Application Control for Business to handle signer rules that rely on TBS (To Be Signed) hash values for Microsoft intermediate certificate authorities (CAs). This is in response to the upcoming expiration of several 15-year CAs starting in July 2025. The new logic allows Application Control to automatically infer trust for the new 2023 and 2024 CAs if your existing policy already trusts the older CAs. Signer elements like CertEKU, CertPublisher, FileAttribRef and CertOemId are preserved in the inferencing logic.
When this will happen:
Beginning in July 2025, these CAs will begin to expire according to the following schedule:
How this will affect your organization:
Microsoft has serviced the TBS hash handling logic for the expiring CAs to all supported versions of Windows where Application Control is supported beginning with the following releases:
What you need to do to prepare:
Ensure your systems are updated with the updates listed above or subsequent ones. No policy updates are required if your existing rules reference the expiring CAs. Windows will seamlessly extend trust to the new 2023 and 2024 CAs via Windows updates.
If you want to opt out of the TBS hash inferencing logic performed by Application Control, set the following flag in policies: Disabled:Default Windows Certificate Remapping.
Additional information:
|
| Machine Translation |
Microsoft は、Microsoft 中間証明機関 (CA) の TBS (To Be Signed) ハッシュ値に依存する署名者ルールを処理するために 、Application Control for Business で使用されるロジック を更新しています。これは、2025年7月からいくつかの15年CAの有効期限が切れることに対応するものです。新しいロジックにより、既存のポリシーがすでに古い CA を信頼している場合、Application Control は新しい 2023 および 2024 CA の信頼を自動的に推論できます。CertEKU、 CertPublisher、FileAttribRef 、 CertOemId などの署名者要素は、推論ロジックに保持されます。
これがいつ起こるか:
2025 年 7 月以降、これらの CA は次のスケジュールに従って期限切れ になります。
これが組織に与える影響:
Microsoft は、次のリリース以降、Application Control がサポートされているすべてのサポートされているバージョンの Windows に対して、有効期限が切れる CA の TBS ハッシュ処理ロジックを提供しました。
準備するために必要なこと:
上記の更新またはそれ以降の更新でシステムが更新されていることを確認します。既存のルールが期限切れになる CA を参照している場合、ポリシーの更新は必要ありません 。Windows は、Windows 更新プログラムを介して、新しい 2023 年と 2024 年の CA に信頼をシームレスに拡張します。
Application Control によって実行される TBS ハッシュ 推論 ロジックをオプトアウト する場合は、ポリシー で Disabled:Default Windows Certificate Remapping フラグを設定します。 ???????
追加情報:
|