(0) exportieren Drucken
Alle erweitern

Technologieübersicht

Betrifft: Windows 7, Windows Server 2008 R2

Die folgenden Abschnitte bieten eine kurze Übersicht über die in dieser Anleitung erläuterten Kerntechnologien.

Digitale Signaturen und Zertifikate

Da Gerätetreiber mit Rechten auf Systemebene ausgeführt werden und auf alle Bereiche eines Computers zugreifen können, ist es wichtig, dass Sie den Treibern vertrauen, die Sie installieren. Das Vertrauen umfasst in diesem Kontext zwei Prinzipien:

  • Echtheit stellt eine Versicherung dar, dass das Treiberpaket tatsächlich von der angegebenen Quelle stammt. Es kann sich nicht um schädlichen Code handeln, der sich als legitim ausgibt.

  • Integrität stellt eine Versicherung dar, dass das Paket zu 100 Prozent dem Original entspricht und nach seiner Veröffentlichung von niemandem geändert wurde.

Von Windows werden digitale Zertifikate und digitale Signaturen verwendet, um diese Prinzipien zu unterstützen. Ein digitales Zertifikat identifiziert eine Organisation und ist vertrauenswürdig, da es elektronisch von einer Zertifizierungsstelle (Certification Authority, CA) überprüft werden kann. Eine digitale Signatur verwendet Informationen im digitalen Zertifikat der Organisation, um bestimmte Details zum Paket zu verschlüsseln.

Die verschlüsselten Informationen in einer digitalen Signatur schließen einen Fingerabdruck oder einen Hash für jede im Paket enthaltene Datei ein. Der Fingerabdruck wird von einem speziellen kryptografischen Algorithmus generiert, der auch als Hashalgorithmus bezeichnet wird. Vom Hashalgorithmus wird ein Fingerabdruck generiert, der nur mithilfe der Inhalte dieser Datei erneut erstellt werden kann. Wenn auch nur eine kleine Änderung an der Datei vorgenommen wird, ändert sich auch der Fingerabdruck. Nachdem die Fingerabdrücke generiert wurden, werden sie zu einem Katalog kombiniert und dann verschlüsselt.

In der folgenden Abbildung ist der zum Signieren eines Treiberpakets verwendete Vorgang dargestellt.

Der Signierungsprozess des Treiberpakets

In diesem Vorgang werden folgenden Schritte ausgeführt:

Das ursprüngliche Treiberpaket weist keine Signatur und keine CAT-Datei auf, in der eine Signatur gespeichert werden kann. In Schritt 1 der Abbildung wird das Tool Inf2Cat ausgeführt, um die CAT-Datei zu erstellen, in der vom Tool ein Fingerabdruck für jede als Teil des Treiberpakets identifizierte Datei (dies ist in der INF-Datei angegeben) gespeichert wird. In Schritt 2 wird das Tool SignTool ausgeführt, mit dem das digitale Zertifikat zum Verschlüsseln angegeben und die CAT-Datei signiert wird. In Schritt 3 wird die digital signierte CAT-Datei in das Treiberpaket eingeschlossen und für Clientcomputer bereitgestellt.

Vom Computer, der das Paket empfängt, wird die Identität des Paketerstellers bestätigt, indem eine Kopie des Zertifikats zum Entschlüsseln der Signatur des Pakets verwendet wird. Mit einer erfolgreichen Entschlüsselung wird nachgewiesen, dass der Besitzer des Zertifikats der Signaturgeber des Pakets ist.

Während des Bestätigungsvorgangs wird wieder derselbe Hashalgorithmus verwendet, der zum Erstellen der Fingerabdrücke verwendet wurde. Von Windows wird ein Fingerabdruck für jede im Paket empfangene Datei generiert. Wenn die vom Computer, der das Paket empfangen hat, generierten Fingerabdrücke mit denen übereinstimmen, die in der Signatur verschlüsselt sind, kann der Empfänger sicher sein, dass das empfangene Paket mit dem ursprünglichen Paket identisch ist. Wenn die Fingerabdrücke nicht übereinstimmen, wurden die Dateien nach dem Signieren geändert, und es sollte ihnen nicht mehr vertraut werden.

Auf jedem Computer wird unter Windows ein Speicher für digitale Zertifikate bereitgestellt. Als Computeradministrator können Sie Zertifikate von Herausgebern hinzufügen, denen Sie vertrauen. Wenn ein Paket empfangen wurde, für das kein übereinstimmendes Zertifikat im Zertifikatspeicher gefunden werden kann, wird unter Windows eine Seite angezeigt, auf der der Benutzer bestätigen soll, dass er dem Herausgeber vertraut. Indem Sie ein Zertifikat auf allen Clientcomputern im Zertifikatspeicher speichern, teilen Sie Windows mit, dass Sie allen Paketen vertrauen, die mit diesem Zertifikat signiert wurden.

ImportantWichtig
Bei den 64-Bit-Versionen von Windows 7 und Windows Vista müssen alle Kernelmodus-Gerätetreiber mit einem Softwareherausgeberzertifikat signiert werden, das von einer zugelassenen Drittanbieter-Zertifizierungsstelle ausgestellt wurde. Wenn Sie eine 64-Bit-Version von Windows verwenden, benötigen Sie ein Treiberpaket, das bereits signiert wurde, oder müssen auf ein Softwareherausgeberzertifikat zugreifen können, mit dem Sie das Treiberpaket signieren können. Wenn Sie einen 64-Bit-Kernelmodus-Gerätetreiber falsch signieren, wird er nicht erfolgreich installiert. Wenn der Gerätetreiber zum Starten des Computers erforderlich ist, wird der Computer möglicherweise nicht gestartet. Stellen Sie sicher, dass Sie die Pakete auf allen Computertypen, auf denen Sie sie bereitstellen, ausführlich testen. Weitere Informationen zum Signieren von 64-Bit-Gerätetreiberpaketen, einschließlich einer exemplarischen Vorgehensweise zum Signieren von Kernelmodustreibern, finden Sie im Abschnitt Weitere Ressourcen am Ende dieser Anleitung.

Anweisungen zum Sichern von Codesignaturschlüsseln

Die kryptografischen Schlüssel, die das Herzstück des Authenticode-Signaturvorgangs darstellen, müssen genauso gut geschützt und mit derselben Vorsicht behandelt werden wie die wertvollsten Aktiva der Organisation. Diese Schlüssel stellen die Identität einer Organisation dar. Code, der mit diesen Schlüsseln signiert wurde, wird unter Windows so interpretiert, als würde er eine gültige digitale Signatur enthalten, die zur Organisation zurückverfolgt werden kann. Wenn die Schlüssel gestohlen werden, könnten sie zum betrügerischen Signieren von schädlichem Code verwendet werden. Dadurch wird möglicherweise Code bereitgestellt, der einen Trojaner oder Virus enthält, der von einem legitimen Herausgeber zu stammen scheint.

Ausführliche Informationen zum Sichern von privaten Schlüsseln finden Sie im Dokument mit den bewährten Methoden für die Codesignierung, auf das im Abschnitt Weitere Ressourcen am Ende dieser Anleitung verwiesen wird.

Geräteinstallation

Bei einem Gerät handelt es sich um Hardware, mit der unter Windows interagiert wird, um eine Funktion auszuführen. Von Windows kann nur mit einem Gerät kommuniziert werden, wenn eine als Gerätetreiber bezeichnete Software verwendet wird. Die Geräte- und Gerätetreiberinstallation unter Windows 7 und Windows Server 2008 R2 wird gemäß der folgenden Abbildung ausgeführt. "PnP" in der Abbildung bezeichnet den unter Windows ausgeführten Plug & Play-Dienst. Wenn eine der beschriebenen Sicherheitsüberprüfungen nicht erfolgreich abgeschlossen oder von Windows kein geeigneter Gerätetreiber gefunden werden kann, wird der Vorgang beendet.

In der Abbildung ist das Standardverhalten dargestellt. Mit Gruppenrichtlinieneinstellungen kann die Windows Update-Suche der Suche in den Ordnern in DevicePath voran- oder nachgestellt werden, oder die Verwendung der Windows Update-Suche wird vollständig deaktiviert.

4d10e7ad-b338-4d2e-8f9f-c8249a2a5ca6
  1. Sobald ein Benutzer ein neues Gerät anschließt, wird die neue Hardware von Windows erkannt, und dem Plug & Play-Dienst wird ein Signal mit der Aufforderung übermittelt, die Funktionsfähigkeit des Geräts herzustellen.

  2. Der Plug & Play-Dienst fragt Identifikationszeichenfolgen vom Gerät ab.

  3. Anschließend durchsucht der Plug & Play-Dienst den Treiberspeicher nach einem Treiberpaket, das den Identifikationszeichenfolgen entspricht.

  4. Vom Computer wird mit Windows Update nach einem besseren Treiberpaket als dem bereits vorhandenen gesucht. Wenn ein besserer Treiber gefunden wird, überspringen Sie diesen Schritt, und setzen Sie den Vorgang mit Schritt 6 fort. Wenn kein besserer Treiber gefunden wurde, setzen Sie den Vorgang mit Schritt 5 fort.

  5. Vom Computer werden die im Registrierungsschlüssel DevicePath angegebenen Ordner nach einem besseren Treiberpaket durchsucht. Wenn ein besserer Treiber gefunden wird, setzen Sie den Vorgang mit Schritt 6 fort. Wenn kein besserer Treiber gefunden wurde, setzen Sie den Vorgang mit Schritt 8 fort.

  6. Das Treiberpaket wird von Windows heruntergeladen.

  7. Das heruntergeladene Treiberpaket wird von Windows im Treiberspeicher bereitgestellt.

  8. Alle nun im Treiberspeicher bereitgestellten übereinstimmenden Treiberpakete werden von Windows verglichen, und es wird das beste ausgewählt. Der Vorgang wird mit Schritt 9 fortgesetzt. Wenn kein geeigneter Treiber im Treiberspeicher gefunden werden kann, setzten Sie den Vorgang mit Schritt 10 fort.

    Weitere Informationen darüber, wie der "beste" Treiber von Windows ausgewählt wird, finden Sie im Dokument über das Auswählen von Gerätetreibern durch Setup, auf das im Abschnitt Weitere Ressourcen am Ende dieser Anleitung verwiesen wird.

  9. Das aus dem Treiberspeicher ausgewählte Treiberpaket wird von Windows installiert. Das Gerät ist nun betriebsbereit.

  10. Wenn kein Treiberpaket gefunden wurde, wird von Windows ein Windows-Fehlerbericht generiert, der das Gerät identifiziert, für das kein Treiberpaket ermittelt werden konnte. Wenn eine Lösung verfügbar ist, wird sie dem Benutzer als Wartungscentermeldung angezeigt. Bei der Lösung kann es sich um einen von einem Hersteller bereitgestellten Link zu einer Webseite handeln, von der der Benutzer den Treiber herunterladen kann.

Weitere Informationen zu diesem Vorgang finden Sie in der Geräte-Manager-Hilfe unter Windows 7 oder Windows Server 2008 R2.

Das Bereitstellen, auf das in Schritt 7 in der oben dargestellten Abbildung verwiesen wird, beinhaltet alle unter Windows ausgeführten erforderlichen Sicherheitsüberprüfungen sowie das Speichern des Treiberpakets an einem sicheren Ort, damit vom Plug & Play-Dienst darauf zugegriffen werden kann. Das Bereitstellen kann von einem Administrator in einem separaten Schritt ausgeführt werden. Nachdem ein Treiberpaket bereitgestellt wurde, kann jeder Benutzer, der sich an diesem Computer anmeldet, den Gerätetreiber im Treiberspeicher installieren. Hierzu muss das jeweilige Gerät angeschlossen werden. Es werden keine Eingabeaufforderungen abgefragt oder spezielle Berechtigungen benötigt. Sobald der Benutzer das Gerät angeschlossen hat, kann es verwendet werden, ohne dass ein Eingriff des Administrators oder von Mitarbeitern der Helpdesk erforderlich ist.

Weitere Informationen zum Treiberspeicher finden Sie im Abschnitt Weitere Ressourcen am Ende dieser Anleitung.

Gruppenrichtlinie

Mit der Gruppenrichtlinie kann ein Administrator die Sicherheits- und Konfigurationseinstellungen auf verwalteten Clientcomputern in einer gesamten Organisation zentral erzwingen. Sie unterstützt auch die automatische Bereitstellung von digitalen Zertifikaten für Computer, die Mitglieder einer Domäne sind. Anstatt die Einstellungen auf jedem Clientcomputer manuell zu konfigurieren oder komplexe Anmeldeskripts zu schreiben, können Sie die gewünschten Einstellungen einmal konfigurieren und mithilfe des Active Directory®-Verzeichnisdiensts, der unter Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 und Windows 2000 Server verfügbar ist, auf den verwalteten Computern verteilen.

In dieser Anleitung werden Verfahren veranschaulicht, die das manuelle Konfigurieren des Clients umfassen, einschließlich der manuellen Installation von Zertifikaten, die zum Signieren von Treiberpaketen verwendet werden. In einer Produktionsumgebung mit vielen Clientcomputern stellt das Verwenden der Active Directory-Gruppenrichtlinie jedoch die viel effizientere, viel sicherere und weniger fehleranfällige Methode dar, um Firmenrichtlinien- und Sicherheitseinstellungen auf verwalteten Computern zu erzwingen.

Weitere Informationen zu Gruppenrichtlinien und zu Active Directory finden Sie im Abschnitt Weitere Ressourcen am Ende dieser Anleitung.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft