Microsoft Security Advisory 2915720
Änderungen bei der Überprüfung der Windows Authenticode-Signatur
Veröffentlicht: 10. Dezember 2013 | Aktualisiert: 29. Juli 2014
Version: 1.4
Allgemeine Informationen
Kurzfassung
Microsoft kündigt die Verfügbarkeit eines Updates für alle unterstützten Versionen von Microsoft Windows an, um zu ändern, wie Signaturen für Binärdateien überprüft werden, die mit dem Windows Authenticode-Signaturformat signiert sind. Die Änderung ist im Sicherheitsbulletin MS13-098 enthalten, wird jedoch nur auf Opt-In-Basis aktiviert. Wenn diese Option aktiviert ist, lässt das neue Verhalten für die Überprüfung der Windows Authenticode-Signatur keine zusätzlichen Informationen mehr in der WIN_CERTIFICATE-Struktur zu, und Windows erkennt nicht mehr kompatible Binärdateien als signiert. Beachten Sie, dass Microsoft dies möglicherweise zu einem Standardverhalten in einer zukünftigen Version von Microsoft Windows machen kann.
Empfehlung Microsoft empfiehlt ausführbaren Autoren, alle signierten Binärdateien dem neuen Überprüfungsstandard zu entsprechen, indem sichergestellt wird, dass sie keine überflüssigen Informationen in der WIN_CERTIFICATE Struktur enthalten. Microsoft empfiehlt außerdem, dass Kunden diese Änderung entsprechend testen, um zu bewerten, wie sie sich in ihren Umgebungen verhalten wird. Weitere Informationen finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
Informationsquellen | Identifikation |
---|---|
Sicherheitsbulletin | MS13-098 |
Allgemeine Informationen | Einführung in die Codesignatur winVerifyTrust-Funktion \ Authenticode Portable Ausführbare Signaturformat \ |
Spezifische Informationen | Windows-Stammzertifikatprogramm – Technische Anforderungen |
Häufig gestellte Fragen zu Beratungen
Was ist der Umfang der Beratung?
Der Zweck dieser Empfehlung besteht darin, Kunden über eine optionale Änderung zu informieren, wie Microsoft Windows Authenticode-signierte Binärdateien überprüft.
Warum wurde diese Empfehlung am 29. Juli 2014 überarbeitet?
Diese Empfehlung wurde am 29. Juli 2014 überarbeitet, um ankündigen zu können, dass das hier beschriebene striktere Windows Authenticode-Signaturüberprüfungsverhalten auf Opt-In-Basis aktiviert wird und kein Standardverhalten in unterstützten Versionen von Microsoft Windows vorgenommen wird.
Wie implementiert Microsoft das strengere Windows Authenticode-Signaturüberprüfungsverhalten?
Am 10. Dezember 2013 veröffentlichte Microsoft das Sicherheitsbulletin MS13-098 , um den zugrunde liegenden Code für ein strengeres Authenticode-Signaturüberprüfungsverhalten bereitzustellen. Zuvor kündigte diese Empfehlung an, dass Microsoft bis zum 12. August 2014 die mit MS13-098 implementierten Änderungen als Standardfunktionalität aktivieren würde. Da wir jedoch mit Kunden daran gearbeitet haben, sich an diese Änderung anzupassen, haben wir festgestellt, dass die Auswirkungen auf vorhandene Software hoch sein könnten. Daher plant Microsoft nicht mehr, das strengere Überprüfungsverhalten als Standardanforderung zu erzwingen. Die zugrunde liegende Funktionalität für strengere Überprüfungen Standard ist jedoch vorhanden und kann nach Eigenem Ermessen des Kunden aktiviert werden.
Wie kann ich das verhalten der neuen Signaturüberprüfung aktivieren?
Kunden, die das neue Überprüfungsverhalten der Authenticode-Signatur aktivieren möchten, können dies tun, indem Sie einen Schlüssel in der Systemregistrierung festlegen. Wenn der Schlüssel festgelegt ist, erkennt die Überprüfung der Windows Authenticode-Signatur keine Binärdateien mehr mit Authenticode-Signaturen, die zusätzliche Informationen in der WIN_CERTIFICATE Struktur enthalten. Kunden können die Funktionalität jederzeit deaktivieren, indem Sie diesen Registrierungsschlüssel deaktivieren. Anweisungen finden Sie unten unter "Vorgeschlagene Aktionen ".
Ich habe diese Änderung aktiviert, muss ich jetzt etwas tun, das nicht standardmäßig erzwungen wird? Kunden, die das strengere Überprüfungsverhalten bereits aktiviert haben und keine Probleme aufgetreten sind, können sich entscheiden, das Überprüfungsverhalten aktiviert zu lassen. Kunden, die Anwendungskompatibilitätsprobleme mit dem neuen Verhalten haben, oder Kunden, die einfach das neue Verhalten deaktivieren möchten, können die Funktionalität deaktivieren, indem Sie den Registrierungsschlüssel "EnableCertPaddingCheck" entfernen. Anweisungen finden Sie unten unter "Vorgeschlagene Aktionen ".
Ich habe diese Änderung nicht aktiviert, muss ich jetzt etwas tun, da sie nicht standardmäßig erzwungen wird?
Nein Das strengere Überprüfungsverhalten, das mit MS13-098 installiert wurde, befindet sich auf dem System, ist jedoch bis zur Aktivierung ruhend.
Wirkt sich das neue Überprüfungsverhalten auf bereits installierte Software aus?
Das neue strengere Überprüfungsverhalten gilt bei aktivierter Aktivierung in erster Linie für portable ausführbare Binärdateien (PE), die mit dem Windows Authenticode-Signaturformat signiert sind. Binärdateien, die nicht mit diesem Format signiert sind oder winVerifyTrust nicht verwenden, um zu überprüfen, ob Signaturen vom neuen Verhalten nicht betroffen sind. Binärdateien sind wahrscheinlich betroffen sind PE-Installer-Dateien, die über das Internet verteilt werden, die zum Zeitpunkt des Downloads angepasst werden. Das häufigste Szenario, in dem Benutzer eine Auswirkung wahrnehmen können, liegt beim Herunterladen und Installieren neuer Anwendungen. Dies ist nur der Fall, wenn Kunden das strengere Überprüfungsverhalten aktiviert haben, nach dem Benutzer Warnmeldungen beobachten können, wenn Sie versuchen, neue Anwendungen mit Signaturen zu installieren, die die Überprüfung fehlschlagen.
Wirkt sich das neue Überprüfungsverhalten auf AppLocker-Richtlinien aus?
Für Kunden, die das strengere Überprüfungsverhalten aktivieren möchten, kann jede AppLocker-Regel, die von signierten Dateien abhängt oder einen bestimmten Herausgeber erwartet, betroffen sein, wenn die Signatur einer Datei nicht den strengeren Überprüfungsanforderungen der Authenticode-Signatur entspricht.
Wirkt sich das neue Überprüfungsverhalten auf Softwareeinschränkungsrichtlinien aus?
Für Kunden, die das striktere Überprüfungsverhalten aktivieren möchten, kann jede Softwareeinschränkungsrichtlinie, die von signierten Dateien abhängt oder einen bestimmten Herausgeber erwartet, beeinträchtigt werden, wenn die Signatur einer Datei nicht den strengeren Anforderungen für die Überprüfung der Authenticode-Signatur entspricht.
Das neue strengere Überprüfungsverhalten ist für meine binär-nicht konform. Welche Optionen habe ich?
Wenn eine Binärdatei als nicht konform mit dem strikteren Authentifizierungsverhalten der Authenticode-Signatur gilt, ist dies kein Problem auf Systemen, die das neue Überprüfungsverhalten nicht aktiviert haben, da Microsoft das strengere Verhalten standardmäßig nicht erzwingt. Um jedoch Probleme mit einer binären Fehlerhaften Überprüfung auf Systemen zu beheben, bei denen das neue Überprüfungsverhalten aktiviert wurde, muss diese Binärdatei mit strikter Einhaltung des Windows Authenticode-Signaturformats neu signiert werden und insbesondere keine zusätzlichen Informationen in die WIN_CERTIFICATE Struktur einschließen.
Besteht die Möglichkeit, dass eine Signatur als nicht konform mit dem strengeren Überprüfungsprozess erkannt wird, wenn ich mich mit nicht von Microsoft bereitgestellten Signaturtools signiere?
Ja. Kunden, die sich dafür entscheiden, das strengere Überprüfungsverhalten zu aktivieren, führt das Signieren von Binärdateien mit nicht von Microsoft bereitgestellten Signaturtools das Risiko aus, dass Signaturen als nicht konform mit dem strengeren Überprüfungsverhalten erkannt werden. Die Verwendung von Microsoft-Produkten oder Signaturtools unterstützt Microsoft, wie z. B. signtool.exe, um sicherzustellen, dass Signaturen als konform erkannt werden.
Was ist Windows Authenticode?
Windows Authenticode ist ein digitales Signaturformat, das verwendet wird, um den Ursprung und die Integrität von Softwarebinärdateien zu bestimmen. Authenticode verwendet Public-Key Cryptography Standards (PKCS) #7 signierte Daten und X.509-Zertifikate, um eine Authenticode-signierte Binärdatei an die Identität eines Softwareherausgebers zu binden. Der Begriff "Authenticode-Signatur" bezieht sich auf ein digitales Signaturformat, das mithilfe der WinVerifyTrust-Funktion generiert und überprüft wird.
Was ist die Überprüfung der Windows Authenticode-Signatur?
Die Überprüfung der Windows Authenticode-Signatur besteht aus zwei primären Aktivitäten: Signaturüberprüfung für angegebene Objekte und Vertrauensüberprüfung. Diese Aktivitäten werden von der WinVerifyTrust-Funktion ausgeführt, die eine Signaturüberprüfung ausführt, dann die Anfrage an einen Vertrauensanbieter übergibt, der den Aktionsbezeichner unterstützt, sofern vorhanden. Weitere technische Informationen zur WinVerifyTrust-Funktion finden Sie in der WinVerifyTrust-Funktion.
Eine Einführung in Authenticode finden Sie in der Einführung in die Codesignierung.
Vorgeschlagene Aktionen
Überprüfen der technischen Anforderungen des Microsoft-Stammzertifikatprogramms
Kunden, die mehr über das thema erfahren möchten, das in dieser Empfehlung behandelt wird, sollten das Windows-Stammzertifikatsprogramm – technische Anforderungen überprüfen.
Ändern von Binären Signaturprozessen
Nach Überprüfung der technischen Details, die der Änderung der Überprüfung der Authenticode-Signatur zugrunde liegen, empfiehlt Microsoft, dass Kunden sicherstellen, dass ihre Authenticode-Signaturen keine zusätzlichen Informationen in der WIN_CERTIFICATE Struktur enthalten. Microsoft empfiehlt außerdem, dass autoren von ausführbaren Dateien die Einhaltung ihrer Authenticode-signierten Binärdateien mit dem neuen Überprüfungsstandard in Betracht ziehen. Autoren, die ihre binären Signaturprozesse geändert haben und das neue Verhalten aktivieren möchten, können dies auf Opt-In-Basis tun. Anleitungen finden Sie unter Windows-Stammzertifikatprogramm – Technische Anforderungen .
Testen der Verbesserung der Authentifizierungssignaturüberprüfung
Microsoft empfiehlt Kunden, zu testen, wie sich diese Änderung der Authenticode-Signaturüberprüfung in ihrer Umgebung verhält, bevor sie vollständig implementiert wird. Um die Verbesserungen der Authenticode-Signaturüberprüfung zu aktivieren, ändern Sie die Registrierung so, dass der Wert "EnableCertPaddingCheck" wie unten beschrieben hinzugefügt wird.
Warnung beim Ausführen dieser Schritte, um die im MS13-098-Update enthaltenen Funktionsänderungen zu aktivieren, führt dazu, dass nicht kompatible Binärdateien nicht signiert angezeigt werden und daher nicht vertrauenswürdig dargestellt werden.
Hinweis Wenn Sie den Registrierungs-Editor falsch verwenden, können sie schwerwiegende Probleme verursachen, die möglicherweise eine Neuinstallation des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.
Führen Sie nach der Installation des MS13-098-Updates Folgendes aus:
Für 32-Bit-Versionen von Microsoft Windows
Fügen Sie den folgenden Text in einen Text-Editor wie Editor ein. Speichern Sie die Datei dann mithilfe der Dateinamenerweiterung .reg (z. B. enableAuthenticodeVerification.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"
Sie können diese .reg Datei auf einzelne Systeme anwenden, indem Sie darauf doppelklicken.
Hinweis : Sie müssen das System neu starten, damit ihre Änderungen wirksam werden.
Für 64-Bit-Versionen von Microsoft Windows
Fügen Sie den folgenden Text in einen Text-Editor wie Editor ein. Speichern Sie die Datei dann mithilfe der Dateinamenerweiterung .reg (z. B. enableAuthenticodeVerification64.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"
Sie können diese .reg Datei auf einzelne Systeme anwenden, indem Sie darauf doppelklicken.
Hinweis : Sie müssen das System neu starten, damit ihre Änderungen wirksam werden.
Auswirkungen der Aktivierung der Im MS13-098-Update enthaltenen Funktionsänderungen. Nicht konforme Binärdateien werden nicht signiert angezeigt und daher nicht vertrauenswürdig gerendert.
So deaktivieren Sie die Funktionalität. Führen Sie folgendes Aus, um den zuvor hinzugefügten Registrierungswert zu löschen.
Fügen Sie für 32-Bit-Versionen von Microsoft Windows den folgenden Text in einen Text-Editor wie Editor ein. Speichern Sie die Datei dann mithilfe der Dateinamenerweiterung .reg (z. B. disableAuthenticodeVerification.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=-
Sie können diese .reg Datei auf einzelne Systeme anwenden, indem Sie darauf doppelklicken.
Hinweis : Sie müssen das System neu starten, damit ihre Änderungen wirksam werden.
Fügen Sie für 64-Bit-Versionen von Microsoft Windows den folgenden Text in einen Text-Editor wie Editor ein. Speichern Sie die Datei dann mithilfe der dateinamenerweiterung .reg (z. B. disableAuthenticodeVerification64.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=- [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=-
Sie können diese .reg Datei auf einzelne Systeme anwenden, indem Sie darauf doppelklicken.
Hinweis : Sie müssen das System neu starten, damit ihre Änderungen wirksam werden.
Weitere vorgeschlagene Aktionen
Schützen Ihres PCs
Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Tresor ty & Security Center.
Aktualisieren der Microsoft-Software
Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. Dezember 2013): Empfehlung veröffentlicht.
- V1.1 (13. Dezember 2013): Korrigiert die Registrierungsschlüsselinformationen im Test the Improvement to Authenticode Signature Verification suggested action. Kunden, die die vorgeschlagene Aktion angewendet oder anwenden möchten, sollten die überarbeiteten Informationen überprüfen.
- V1.2 (11. Februar 2014): Erneute Empfehlung als Erinnerung an Kunden, dass die mit MS13-098 implementierten ruhenden Änderungen am 10. Juni 2014 aktiviert werden. Nach diesem Datum erkennt Windows keine nicht kompatiblen Binärdateien mehr als signiert. Weitere Informationen finden Sie in den Abschnitten "Empfehlung " und "Vorgeschlagene Aktionen " dieser Empfehlung.
- V1.3 (21. Mai 2014): Überarbeitete Empfehlung, um den neuen Abbruchtermin vom 12. August 2014 widerzuspiegeln, an dem nicht kompatible Binärdateien nicht mehr als signiert erkannt werden. Statt am 10. Juni 2014 wird nun die ruhenden Änderungen, die mit MS13-098 implementiert wurden, am 12. August 2014 aktiviert.
- V1.4 (29. Juli 2014): Überarbeitete Empfehlung, um ankündigen zu können, dass Microsoft nicht mehr plant, das strengere Überprüfungsverhalten als Standardfunktionalität für unterstützte Versionen von Microsoft Windows durchzusetzen. Es wird als Opt-In-Funktion wieder verfügbar Standard. Weitere Informationen finden Sie im Abschnitt "Häufig gestellte Fragen zu Beratungen".
Seite generiert 2014-07-29 14:38Z-07:00.