Konfigurieren vertrauenswürdiger Stämme und unzulässiger Zertifikate

 

Gilt für: Windows 8.1, Windows Server 2012 R2

Die Betriebssysteme Windows Server 2012 R2, Windows Server 2012, Windows 8.1 und Windows 8 enthalten einen automatischen Aktualisierungsmechanismus, der Zertifikatvertrauenslisten (Certificate Trust Lists, CTLs) täglich herunterlädt. In Windows Server 2012 R2 und Windows 8.1 sind zusätzliche Funktionen verfügbar, mit denen Sie steuern können, wie die CTLs aktualisiert werden.

System_CAPS_ICON_important.jpg Wichtig


Softwareupdates sind für Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 und Windows Vista verfügbar. Installieren Sie die folgenden Updates, um die in diesem Dokument erläuterten Erweiterungen des automatischen Aktualisierungsmechanismus bereitzustellen:

  • Installieren Sie für Windows Server 2008 R2, Windows Server 2008, Windows 7 oder Windows Vista das entsprechende Update, das in der Microsoft Knowledge Base im Dokument 2677070 angegeben ist.
  • Installieren Sie für Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 oder Windows Vista das entsprechende Update, das in der Microsoft Knowledge Base im Dokument 2813430 angegeben ist.

Das Microsoft-Programm für Stammzertifikate ermöglicht die Verteilung vertrauenswürdiger Stammzertifikate in Windows-Betriebssystemen. Weitere Informationen zur Liste der Mitglieder des Microsoft-Programms für Stammzertifikate finden Sie unter Windows-Programm für Stammzertifikate – Mitgliederliste (alle CAs).

Vertrauenswürdige Stammzertifikate werden im Zertifikatspeicher "Vertrauenswürdige Stammzertifizierungsstellen" der Windows-Betriebssysteme gespeichert. Diese Zertifikate werden vom Betriebssystem als vertrauenswürdig eingestuft und können von Anwendungen als Referenz dafür verwendet werden, welche Hierarchien der Public Key-Infrastruktur (PKI) und digitalen Zertifikate vertrauenswürdig sind. Für die Verteilung vertrauenswürdiger Stammzertifikate stehen zwei Methoden zur Verfügung:

  1. Automatisch: Die Liste der vertrauenswürdigen Stammzertifikate wird in einer CTL gespeichert. Clientcomputer greifen mithilfe des automatischen Aktualisierungsmechanismus auf die Windows Update-Website zu, um diese CTL zu aktualisieren.

    System_CAPS_ICON_note.jpg Hinweis


    Die Liste der vertrauenswürdigen Stammzertifikate wird als vertrauenswürdige CTL bezeichnet.

  2. Manuell: Die Liste der vertrauenswürdigen Stammzertifikate ist als selbstextrahierendes IEXPRESS-Paket im Microsoft Download Center, im Windows-Katalog oder über Windows Server Update Services (WSUS) verfügbar. IEXPRESS-Pakete werden zur gleichen Zeit wie die vertrauenswürdige CTL veröffentlicht.

System_CAPS_ICON_note.jpg Hinweis


Weitere Informationen zu diesen Aktualisierungsmethoden finden Sie in der Microsoft Knowledge Base im Dokument 931125.

Nicht vertrauenswürdige Zertifikate sind Zertifikate, deren betrügerische Natur öffentlich bekannt ist. Ähnlich wie bei der vertrauenswürdigen CTL werden zwei Mechanismen zum Verteilen einer Liste nicht vertrauenswürdiger Zertifikate verwendet:

  1. Automatisch: Die Liste der nicht vertrauenswürdigen Zertifikate wird in einer CTL gespeichert. Clientcomputer greifen mithilfe des automatischen Aktualisierungsmechanismus auf die Windows Update-Website zu, um diese CTL zu aktualisieren.

    System_CAPS_ICON_note.jpg Hinweis


    Eine Liste nicht vertrauenswürdiger Zertifikate wird als nicht vertrauenswürdige CTL bezeichnet. Weitere Informationen finden Sie unter Ankündigung des automatisierten Updaters für nicht vertrauenswürdige Zertifikate und Schlüssel.

  2. Manuell: Die Liste der nicht vertrauenswürdigen Zertifikate wird als selbstextrahierendes IEXPRESS-Paket in einem erforderlichen Windows-Sicherheitsupdate bereitstellt.

Vor Windows Server 2012 R2 und Windows 8.1 (oder vor der oben erwähnten Installation des Softwareupdates) wurden Updates für vertrauenswürdige Stammzertifikate und nicht vertrauenswürdige Zertifikate durch dieselbe Registrierungseinstellung gesteuert. Administratoren konnten die Updates selektiv aktivieren oder deaktivieren. Dies hatte folgende Probleme zur Folge:

  • Bei einer Organisation mit einer nicht verbundenen Umgebung konnten die CTLs nur mithilfe von IEXPRESS-Paketen aktualisiert werden.

    System_CAPS_ICON_note.jpg Hinweis


    In diesem Dokument bezeichnet der Begriff "nicht verbundene Umgebung" ein Computernetzwerk, in dem die Computer nicht auf die Windows Update-Website zugreifen können.

    Die IEXPRESS-Aktualisierungsmethode ist größtenteils ein manueller Prozess. Zudem ist das IEXPRESS-Paket möglicherweise nicht sofort bei der Veröffentlichung der CTL verfügbar, sodass die Installation der Updates bei dieser Methode u. U. mit einer zusätzlichen Verzögerung erfolgt.

  • Obwohl Administratoren, die ihre Listen vertrauenswürdiger Stammzertifikate selbst verwalten, empfohlen wird, automatische Updates für vertrauenswürdige CTLs zu deaktivieren (in verbundenen und nicht verbundenen Umgebungen), wird vom Deaktivieren automatischer Updates für nicht vertrauenswürdige CTLs abgeraten.

    Weitere Informationen finden Sie unter Steuern des Features für die Aktualisierung von Stammzertifikaten, um den Informationsfluss zum und vom Internet zu verhindern.

  • Da Netzwerkadministratoren nicht die Möglichkeit hatten, nur die vertrauenswürdigen Stammzertifikate in einer vertrauenswürdigen CTL anzuzeigen und zu extrahieren, war die Verwaltung einer benutzerdefinierten Liste von vertrauenswürdigen Zertifikaten eine komplexe Aufgabe.

Die folgenden verbesserten automatischen Aktualisierungsmechanismen sind für eine nicht verbundene Umgebung in Windows Server 2012 R2 und Windows 8.1 bzw. nach der Installation des entsprechenden Softwareupdates verfügbar:

  • Registrierungseinstellungen zum Speichern von CTLs Neue Einstellungen ermöglichen das Ändern des Speicherorts für den Upload von vertrauenswürdigen oder nicht vertrauenswürdigen CTLs von der Windows Update-Website in einen freigegebenen Speicherort in einer Organisation. Weitere Informationen finden Sie im Abschnitt Geänderte Registrierungseinstellungen.

  • Synchronisierungsoptionen Wenn die URL für die Windows Update-Website in einen lokalen freigegebenen Ordner verschoben wird, muss dieser Ordner mit dem Windows Update-Ordner synchronisiert werden. Dieses Softwareupdate fügt eine Reihe von Optionen im Certutil-Tool hinzu, mit denen Administratoren die Synchronisierung aktivieren können. Weitere Informationen finden Sie im Abschnitt Neue Certutil-Optionen.

  • Tool zum Auswählen vertrauenswürdiger Stammzertifikate In diesem Softwareupdate wird ein Tool für Administratoren eingeführt, die die vertrauenswürdigen Stammzertifikate in ihrer Unternehmensumgebung verwalten. Administratoren können die vertrauenswürdigen Stammzertifikate anzeigen und auswählen, in einen serialisierten Zertifikatspeicher exportieren und mithilfe von Gruppenrichtlinien verteilen. Weitere Informationen finden Sie im Abschnitt Neue Certutil-Optionen dieses Dokuments.

  • Unabhängige Konfiguration Die automatischen Aktualisierungsmechanismen für vertrauenswürdige und nicht vertrauenswürdige Zertifikate werden unabhängig voneinander konfiguriert. Dies bietet Administratoren die Möglichkeit, den automatischen Aktualisierungsmechanismus nur zum Herunterladen der nicht vertrauenswürdigen CTLs zu verwenden und eine eigene Liste von vertrauenswürdigen CTLs zu verwalten. Weitere Informationen finden Sie im Abschnitt Geänderte Registrierungseinstellungen dieses Dokuments.

In Windows Server 2012 R2 und Windows 8.1 (oder nach der Installation der oben erwähnten Softwareupdates auf unterstützten Betriebssystemen) können Administratoren einen Datei- oder Webserver konfigurieren, um die folgenden Dateien mit dem automatischen Aktualisierungsmechanismus herunterzuladen:

  • "authrootstl.cab" – enthält eine nicht von Microsoft stammende CTL

  • "disallowedcertstl.cab" – enthält eine CTL mit nicht vertrauenswürdigen Zertifikaten

  • "disallowedcert.sst" – enthält einen serialisierten Zertifikatspeicher (einschließlich nicht vertrauenswürdiger Zertifikate)

  • "Fingerabdruck.crt" – enthält nicht von Microsoft stammende Stammzertifikate

Die Schritte zum Ausführen dieser Konfiguration werden im Abschnitt Konfigurieren eines Datei- oder Webservers zum Herunterladen der CTL-Dateien dieses Dokuments beschrieben.

In Windows Server 2012 R2 und Windows 8.1 (oder nach der Installation der oben erwähnten Softwareupdates auf unterstützten Betriebssystemen) haben Administratoren folgende Möglichkeiten:

System_CAPS_ICON_important.jpg Wichtig

  • Alle Schritte in diesem Dokument müssen unter einem Konto ausgeführt werden, das Mitglied der lokalen Gruppe Administrators ist. Für alle AD DS-Konfigurationsschritte muss ein Konto verwendet werden, das Mitglied der Gruppe Domain Admins ist oder an das die notwendigen Berechtigungen delegiert wurden.

  • Für die Verfahren in diesem Dokument ist mindestens ein Computer erforderlich, der eine Verbindung mit dem Internet herstellen kann, um CTLs von Microsoft herunterzuladen. Der Computer muss über HTTP-Zugriff (TCP-Port 80) verfügen und die Namensauflösung (TCP- und UDP-Port 53) unterstützen, um eine Verbindung mit "ctldl.windowsupdate.com" herstellen zu können. Der Computer kann ein Domänenmitglied oder ein Mitglied einer Arbeitsgruppe sein. Gegenwärtig erfordern alle heruntergeladenen Dateien ca. 1,5 MB Speicherplatz.

  • Die in diesem Dokument beschriebenen Einstellungen werden mithilfe von GPOs implementiert. Die Einstellungen werden nicht automatisch entfernt, wenn die Verknüpfung des GPOs aufgehoben oder das GPO aus der AD DS-Domäne entfernt wird. Nach der Implementierung können die Einstellungen nur mithilfe eines GPOs oder durch Ändern der Registrierung der betroffenen Computer geändert werden.

  • Die in diesem Dokument erörterten Konzepte sind unabhängig von Windows Server Update Services (WSUS).

    • Sie müssen WSUS nicht verwenden, um die hier beschriebene Konfiguration zu implementieren.
    • Sollten Sie WSUS verwenden, haben die folgenden Anweisungen keinerlei Auswirkung auf die Funktionalität von WSUS.
    • Die Implementierung von WSUS ist keine Alternative bzw. kein Ersatz für die in diesem Dokument beschriebenen Konfigurationen.

Um die Verteilung von vertrauenswürdigen oder nicht vertrauenswürdigen Zertifikaten in einer nicht verbundenen Umgebung zu ermöglichen, müssen Sie zunächst einen Datei- oder Webserver zum Herunterladen der CTL-Dateien über den automatischen Aktualisierungsmechanismus konfigurieren.

System_CAPS_ICON_tip.jpg Tipp


Die in diesem Abschnitt beschriebene Konfiguration ist in Umgebungen, in denen Computer direkt auf die Windows Update-Website zugreifen können, nicht erforderlich. Computer, die eine Verbindung mit der Windows Update-Website herstellen können, können täglich aktualisierte CTLs empfangen (sofern Windows Server 2012 oder Windows 8 auf ihnen ausgeführt wird oder die oben erwähnten Softwareupdates auf unterstützten Betriebssystemen installiert wurden). Weitere Informationen finden Sie in der Microsoft Knowledge Base im Dokument 2677070.

So konfigurieren Sie einen Server mit Internetzugriff zum Abrufen der CTL-Dateien

  1. Erstellen Sie einen freigegebenen Ordner auf einem Datei- oder Webserver, der mit dem automatischen Aktualisierungsmechanismus synchronisiert werden kann und zum Speichern der CTL-Dateien verwendet werden soll.

    System_CAPS_ICON_tip.jpg Tipp


    Bevor Sie beginnen, müssen Sie ggf. die Berechtigungen für den freigegebenen Ordner und NTFS-Ordnerberechtigungen anpassen, um den entsprechenden Kontozugriff zuzulassen. Dies ist insbesondere dann der Fall, wenn Sie eine geplante Aufgabe mit einem Dienstkonto verwenden. Weitere Informationen zum Anpassen von Berechtigungen finden Sie unter Verwalten von Berechtigungen für freigegebene Ordner.

  2. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus:

    Certutil -syncWithWU \\<server>\<share>  
    
    

    Ersetzen Sie <server> durch den tatsächlichen Servernamen und <share> durch den Namen des freigegebenen Ordners. Bei einem Server mit dem Namen "Server1" und einem freigegebenen Ordner namens "CTL" würden Sie z. B. den folgenden Befehl ausführen:

    Certutil -syncWithWU \\Server1\CTL  
    
    
  3. Laden Sie die CTL-Dateien auf einen Server herunter, auf den Computer in einer nicht verbundenen Umgebung über das Netzwerk anhand eines FILE-Pfads (z. B. "FILE://\\Server1\CTL") oder eines HTTP-Pfads (z. B. "HTTP://Server1/CTL") zugreifen können.

System_CAPS_ICON_note.jpg Hinweis

  • Wenn der zum Synchronisieren der CTLs eingesetzte Server nicht für die Computer in der nicht verbundenen Umgebung zugänglich ist, müssen Sie eine andere Methode zum Übertragen der Informationen verwenden. Sie können z. B. für einen der Computer, die Mitglieder der Domäne sind, das Herstellen einer Verbindung mit dem Server zulassen und anschließend eine weitere Aufgabe auf diesem Computer planen, um die Informationen mithilfe von Pull in einen freigegebenen Ordner auf einem internen Webserver zu übertragen. Falls absolut keine Netzwerkverbindung verfügbar ist, müssen sie die Dateien ggf. mit einem manuellen Prozess übertragen, z. B. mit einem Wechselmedium.
  • Wenn Sie vorhaben, einen Webserver zu verwenden, sollten Sie ein neues virtuelles Verzeichnis für die CTL-Dateien erstellen. Die Schritte zum Erstellen eines virtuellen Verzeichnisses mithilfe der Internetinformationsdienste (IIS) sind für alle unterstützten Betriebssysteme, die in diesem Dokument behandelt werden, nahezu identisch. Weitere Informationen finden Sie unter Erstellen eines virtuellen Verzeichnisses (IIS7).
  • Bedenken Sie, dass für bestimmte System- und Anwendungsordner in Windows ein spezieller Schutz gilt. Der Ordner inetpub erfordert z. B. spezielle Zugriffsberechtigungen, wodurch das Erstellen eines freigegebenen Ordners zur Verwendung mit einer geplanten Aufgabe zum Übertragen von Dateien erschwert wird. Administratoren sind normalerweise in der Lage, einen Ordnerspeicherort im Stammverzeichnis eines logischen Datenträgersystems zum Übertragen von Dateien zu erstellen.

Wenn die Computer in Ihrem Netzwerk in einer Domänenumgebung konfiguriert sind und den automatischen Aktualisierungsmechanismus nicht verwenden oder keine CTLs herunterladen können, können Sie ein GPO in AD DS implementieren, um diese Computer zum Abrufen der CTL-Updates von einem alternativen Speicherort zu konfigurieren.

System_CAPS_ICON_note.jpg Hinweis


Die Konfiguration in diesem Abschnitt setzt voraus, dass Sie die Schritte unter Konfigurieren eines Datei- oder Webservers zum Herunterladen der CTL-Dateien bereits ausgeführt haben.

So konfigurieren Sie eine benutzerdefinierte administrative Vorlage für ein GPO

  1. Erstellen Sie auf einem Domänencontroller eine neue administrative Vorlage. Sie können mit einer Textdatei beginnen und die Dateierweiterung anschließend in ".adm" ändern. Der Inhalt der Datei muss wie folgt aussehen:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"  
        POLICY !!RootDirURL  
           EXPLAIN !!RootDirURL_help  
           PART !!RootDirURL EDITTEXT  
                 VALUENAME "RootDirURL"  
           END PART  
        END POLICY  
    END CATEGORY  
    [strings]  
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"  
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Verwenden Sie einen aussagekräftigen Namen zum Speichern der Datei, z. B. RootDirURL.adm.

    System_CAPS_ICON_tip.jpg Tipp

    • Vergewissern Sie sich, dass die Dateierweiterung ".adm" lautet und nicht ".txt".
    • Falls Sie die Anzeige von Dateierweiterungen noch nicht aktiviert haben, finden Sie unter Anzeigen von Dateierweiterungen entsprechende Informationen.
    • Wenn Sie die Datei im Ordner "%windir%\inf" speichern, ist sie in den folgenden Schritten leichter zu finden.
  3. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor.

    • Klicken Sie bei Verwendung von Windows Server 2008 R2 oder Windows Server 2008 auf Start und anschließend auf Ausführen.

    • Drücken Sie bei Verwendung von Windows Server 2012 R2 oder Windows Server 2012 gleichzeitig die Windows-Taste und R.

    Geben Sie GPMC.msc ein, und drücken Sie dann die EINGABETASTE.

    System_CAPS_ICON_caution.jpg Achtung


    Sie können ein neues GPO mit der Domäne oder einer beliebigen Organisationseinheit verknüpfen. Durch die in diesem Dokument implementierten GPO-Änderungen werden die Registrierungseinstellungen der betroffenen Computer geändert. Diese Einstellungen können nicht durch Löschen oder Aufheben der Verknüpfung des GPOs rückgängig gemacht werden. Sie können nur rückgängig gemacht werden, indem sie in den GPO-Einstellungen zurückgesetzt werden oder die Registrierung mithilfe einer anderen Technik geändert wird.

  4. Erweitern Sie in der Gruppenrichtlinien-Verwaltungskonsole das Objekt Gesamtstruktur, das Objekt Domänen und anschließend die spezifische Domäne, die die zu ändernden Computerkonten enthält. Wenn Sie eine bestimmte Organisationseinheit ändern möchten, navigieren Sie zu diesem Speicherort. Klicken Sie auf ein vorhandenes GPO, oder klicken Sie mit der rechten Maustaste, und wählen Sie dann Gruppenrichtlinienobjekt hier erstellen und verknüpfen aus, um ein neues GPO zu erstellen. Klicken Sie mit der rechten Maustaste auf das zu ändernde GPO, und klicken Sie dann auf Bearbeiten.

  5. Erweitern Sie im Navigationsbereich unter Konfiguration den Knoten Richtlinien.

  6. Klicken Sie mit der rechten Maustaste auf Administrative Vorlagen, und klicken Sie dann auf Vorlagen hinzufügen/entfernen.

  7. Klicken Sie in Vorlagen hinzufügen/entfernen auf Hinzufügen. Wählen Sie im Dialogfeld Richtlinienvorlagen die zuvor gespeicherte ADM-Vorlage aus. Klicken Sie auf Öffnen und dann auf Schließen.

  8. Erweitern Sie im Navigationsbereich den Knoten Administrative Vorlagen und anschließend Klassische administrative Vorlage (ADM).

  9. Klicken Sie auf Windows AutoUpdate-Einstellungen, und doppelklicken Sie im Detailbereich auf URL, die anstelle der Standardadresse „ctldl.windowsupdate.com“ verwendet werden soll.

  10. Wählen Sie Aktiviert aus. Geben Sie im Abschnitt Optionen die URL zum Datei- oder Webserver ein, der die CTL-Dateien enthält. Beispiel: http://server1/CTL oder file://\\server1\CTL. Klicken Sie auf OK. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

Die Richtlinie wird sofort wirksam, die Clientcomputer müssen jedoch neu gestartet werden, um die neuen Einstellungen zu erhalten. Sie können auch an einer Eingabeaufforderung mit erhöhten Rechten oder in gpupdate /force den Befehl Windows PowerShell eingeben.

System_CAPS_ICON_important.jpg Wichtig


Da die vertrauenswürdigen und nicht vertrauenswürdigen CTLs täglich aktualisiert werden können, müssen Sie sicherstellen, dass die Dateien stets synchronisiert werden. Sie können dazu eine geplante Aufgabe oder eine andere Methode (z. B. ein Skript, das Fehlerbedingungen behandelt) verwenden, um den freigegebenen Ordner oder das virtuelle Webverzeichnis zu aktualisieren. Weitere Informationen zum Erstellen einer geplanten Aufgabe finden Sie unter Planen einer Aufgabe. Wenn Sie vorhaben, ein Skript zum Ausführen täglicher Updates zu schreiben, lesen Sie vorher die Abschnitte Neue Certutil-Optionen und Potenzielle Fehler bei der Verwendung von "Certutil -SyncWithWU" dieses Dokuments. Dort finden Sie weitere Informationen zu Befehlsoptionen und den Fehlerbedingungen.

Manche Organisationen ziehen es vor, dass nur die nicht vertrauenswürdigen CTLs (nicht die vertrauenswürdigen CTLs) automatisch aktualisiert werden. Hierzu können Sie zwei ADM-Vorlagen erstellen, die Sie den Gruppenrichtlinien hinzufügen.

System_CAPS_ICON_important.jpg Wichtig

  1. In einer nicht verbundenen Umgebung können Sie das folgende Verfahren zusammen mit dem vorangehenden Verfahren (Umleiten der Microsoft-URL für automatische Updates für vertrauenswürdige CTLs und nicht vertrauenswürdige CTLs) verwenden. In diesem Verfahren wird erläutert, wie Sie die automatische Aktualisierung vertrauenswürdiger CTLs selektiv deaktivieren.
  2. Sie können dieses Verfahren auch in einer isolierten verbundenen Umgebung verwenden, um die automatische Aktualisierung vertrauenswürdiger CTLs selektiv zu deaktivieren.

So leiten Sie selektiv nur nicht vertrauenswürdige CTLs um

  1. Erstellen Sie auf einem Domänencontroller die erste neue administrative Vorlage, indem Sie mit einer Textdatei beginnen und die Dateierweiterung anschließend in ".adm" ändern. Der Inhalt der Datei muss wie folgt aussehen:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!DisableRootAutoUpdate      
           EXPLAIN !!Certificates_config  
           VALUENAME "DisableRootAutoUpdate"  
           VALUEON NUMERIC 0  
              VALUEOFF NUMERIC 1  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    DisableRootAutoUpdate="Auto Root Update"  
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Verwenden Sie einen aussagekräftigen Namen zum Speichern der Datei, z. B. DisableAllowedCTLUpdate.adm.

  3. Erstellen Sie eine zweite neue administrative Vorlage. Der Inhalt der Datei muss wie folgt aussehen:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!EnableDisallowedCertAutoUpdate          
           EXPLAIN !!Certificates_config  
           VALUENAME "EnableDisallowedCertAutoUpdate"  
           VALUEON NUMERIC 1  
              VALUEOFF NUMERIC 0  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"  
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  4. Verwenden Sie einen aussagekräftigen Namen zum Speichern der Datei, z. B. EnableUntrustedCTLUpdate.adm.

    System_CAPS_ICON_tip.jpg Tipp

    • Vergewissern Sie sich, dass die Dateierweiterung dieser Dateien ".adm" lautet und nicht ".txt".
    • Falls Sie die Anzeige von Dateierweiterungen noch nicht aktiviert haben, finden Sie unter Anzeigen von Dateierweiterungen entsprechende Informationen.
    • Wenn Sie die Datei im Ordner "%windir%\inf" speichern, ist sie in den folgenden Schritten leichter zu finden.
  5. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor.

  6. Erweitern Sie in der Gruppenrichtlinien-Verwaltungskonsole Gesamtstruktur, Domänen und anschließend das spezifische Domänenobjekt, das Sie ändern möchten. Klicken Sie mit der rechten Maustaste auf das GPO Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

  7. Erweitern Sie im Navigationsbereich unter Konfiguration den Knoten Richtlinien.

  8. Klicken Sie mit der rechten Maustaste auf Administrative Vorlagen, und klicken Sie dann auf Vorlagen hinzufügen/entfernen.

  9. Klicken Sie in Vorlagen hinzufügen/entfernen auf Hinzufügen. Wählen Sie im Dialogfeld Richtlinienvorlagen die zuvor gespeicherten ADM-Vorlagen aus. (Halten Sie zum Auswählen beider Dateien beim Klicken die STRG-Taste gedrückt.) Klicken Sie auf Öffnen und dann auf Schließen.

  10. Erweitern Sie im Navigationsbereich den Knoten Administrative Vorlagen und anschließend Klassische administrative Vorlage (ADM).

  11. Klicken Sie auf Windows AutoUpdate Settings, und doppelklicken Sie dann im Detailbereich auf Automatische Aktualisierung der Stammzertifikate.

  12. Wählen Sie Deaktiviert aus. Diese Einstellung verhindert die automatische Aktualisierung der vertrauenswürdigen CTLs. Klicken Sie auf OK.

  13. Doppelklicken Sie im Detailbereich auf Untrusted CTL Automatic Update. Wählen Sie Aktiviert aus. Klicken Sie auf OK.

Die Richtlinie wird sofort wirksam, die Clientcomputer müssen jedoch neu gestartet werden, um die neuen Einstellungen zu erhalten. Sie können auch an einer Eingabeaufforderung mit erhöhten Rechten oder in Windows PowerShell den Befehl gpupdate /force eingeben.

System_CAPS_ICON_important.jpg Wichtig


Da die vertrauenswürdigen und nicht vertrauenswürdigen CTLs täglich aktualisiert werden können, müssen Sie sicherstellen, dass die Dateien stets synchronisiert werden. Sie können dazu eine geplante Aufgabe oder eine andere Methode verwenden, um den freigegebenen Ordner oder das virtuelle Verzeichnis zu aktualisieren.

In diesem Abschnitt wird beschrieben, wie Sie die vertrauenswürdigen CTLs, die von den Computern in Ihrer Umgebung verwendet werden sollen, erzeugen, überprüfen und filtern können. Sie müssen die in den vorangehenden Verfahren beschriebenen GPOs implementieren, um diese Lösung verwenden zu können. Die Lösung ist für nicht verbundene und verbundene Umgebungen verfügbar.

Zum Anpassen der Liste der vertrauenswürdigen CTLs müssen zwei Verfahren durchgeführt werden.

  1. Erstellen einer Teilmenge von vertrauenswürdigen Zertifikaten

  2. Verteilen der vertrauenswürdigen Zertifikate mithilfe von Gruppenrichtlinien

So erstellen Sie eine Teilmenge von vertrauenswürdigen Zertifikaten

  1. Öffnen Sie auf einem Computer, der nicht mit dem Internet verbunden ist, Windows PowerShell als Administrator, oder öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und geben Sie den folgenden Befehl ein:

    Certutil -generateSSTFromWU WURoots.sst  
    
    
  2. Sie können den folgenden Befehl in Windows-Explorer ausführen, um die Datei „WURoots.sst“ zu öffnen:

    start explorer.exe wuroots.sst  
    
    
    System_CAPS_ICON_tip.jpg Tipp


    Sie können auch in Internet Explorer zu der Datei navigieren und sie per Doppelklick öffnen. Je nachdem, wo sie die Datei gespeichert haben, können Sie sie möglicherweise auch durch Eingabe von wuroots.sst öffnen.

  3. Erweitern Sie im Navigationsbereich der Zertifikatverwaltung den Dateipfad unter Zertifikate - Aktueller Benutzer, bis Sie den Eintrag Zertifikate sehen, und klicken Sie dann auf Zertifikate.

  4. Im Detailbereich werden die vertrauenswürdigen Zertifikate angezeigt. Halten Sie die STRG-Taste gedrückt, und klicken Sie auf jedes Zertifikat, das Sie zulassen möchten. Klicken Sie nach der Auswahl der zuzulassenden Zertifikate mit der rechten Maustaste auf Alle Aufgaben, und klicken Sie dann auf Exportieren.

    System_CAPS_ICON_important.jpg Wichtig


    Zum Exportieren des Dateityps ".sst" müssen mindestens zwei Zertifikate ausgewählt werden. Wenn Sie nur ein Zertifikat auswählen, ist der Dateityp ".sst" nicht verfügbar, und stattdessen wird der Dateityp ".cer" ausgewählt.

  5. Klicken Sie im Zertifikatexport-Assistenten auf Weiter.

  6. Wählen Sie auf der Seite Format der zu exportierenden Datei das Format Microsoft Serieller Zertifikatspeicher (.SST) aus, und klicken Sie dann auf Weiter.

  7. Geben Sie auf der Seite Zu exportierende Datei einen Dateipfad und einen geeigneten Namen für die Datei ein (z. B. C:\AllowedCerts.sst), und klicken Sie dann auf Weiter. Klicken Sie auf Fertig stellen. Wenn ein Hinweis zum erfolgreichen Abschluss des Exports angezeigt wird, klicken Sie auf OK.

  8. Kopieren Sie die erstellte SST-Datei auf einen Domänencontroller.

So verteilen Sie die Liste vertrauenswürdiger Zertifikate mithilfe von Gruppenrichtlinien

  1. Öffnen Sie auf dem Domänencontroller, auf den Sie die benutzerdefinierte SST-Datei kopiert haben, den Gruppenrichtlinienverwaltungs-Editor.

  2. Erweitern Sie in der Gruppenrichtlinien-Verwaltungskonsole Gesamtstruktur, Domänen und anschließend das spezifische Domänenobjekt, das Sie ändern möchten. Klicken Sie mit der rechten Maustaste auf das GPO Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.

  3. Erweitern Sie im Navigationsbereich unter Computerkonfiguration die Knoten Richtlinien, Windows-EinstellungenSicherheitseinstellungen und Richtlinien für öffentliche Schlüssel.

  4. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie dann auf Importieren.

  5. Klicken Sie im Zertifikatimport-Assistenten auf Weiter.

  6. Geben Sie den Pfad und Namen der Datei ein, die Sie auf den Domänencontroller kopiert haben, oder suchen Sie mithilfe der Schaltfläche Durchsuchen nach der Datei. Klicken Sie auf Weiter.

  7. Bestätigen Sie, dass Sie die Zertifikate im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen speichern möchten, indem Sie auf Weiter klicken. Klicken Sie auf Fertig stellen. Wenn ein Hinweis zum erfolgreichen Abschluss des Imports der Zertifikate angezeigt wird, klicken Sie auf OK.

  8. Schließen Sie den Gruppenrichtlinienverwaltungs-Editor.

Die Richtlinie wird sofort wirksam, die Clientcomputer müssen jedoch neu gestartet werden, um die neuen Einstellungen zu erhalten. Sie können auch an einer Eingabeaufforderung mit erhöhten Rechten oder in Windows PowerShell den Befehl gpupdate /force eingeben.

Durch die in diesem Dokument beschriebenen Einstellungen werden die folgenden Registrierungsschlüssel auf den Clientcomputern konfiguriert. Die Einstellungen werden nicht automatisch entfernt, wenn die Verknüpfung des GPOs aufgehoben oder das GPO aus der Domäne entfernt wird. Die Einstellungen müssen eigens neu konfiguriert werden, wenn Sie sie ändern möchten.

RegistrierungsschlüsselWert und Beschreibung
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdateDer Wert 1 deaktiviert die automatische Aktualisierung der vertrauenswürdigen CTL durch Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateDer Wert 1 aktiviert die automatische Aktualisierung der nicht vertrauenswürdigen CTL durch Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlKonfiguriert den freigegebenen Speicherort (HTTP- oder FILE-Pfad).

Die folgenden Optionen wurden Certutil hinzugefügt:

SyntaxBeschreibungBeispiel
CertUtil [Options] -syncWithWU DestinationDirSynchronisierung mit Windows Update.

 
  • "DestinationDir" ist der Ordner, der die Dateien unter Verwendung des automatischen Aktualisierungsmechanismus empfängt.
  • Die folgenden Dateien werden bei Verwendung des automatischen Aktualisierungsmechanismus heruntergeladen:

     
    • Die Datei "authrootstl.cab" enthält die CTLs von Stammzertifikaten, die nicht von Microsoft stammen.
    • Die Datei "disallowedcertstl.cab" enthält die CTLs von nicht vertrauenswürdigen Zertifikaten.
    • Die Datei "disallowedcert.sst" enthält einen serialisierten Zertifikatspeicher (einschließlich der nicht vertrauenswürdigen Zertifikate).
    • Die Datei „<Fingerabdruck>.crt“ enthält die nicht von Microsoft stammenden Stammzertifikate.
CertUtil -syncWithWU \\server1\PKI\CTLs
CertUtil [Options] -generateSSTFromWU SSTFileGenerieren der SST-Datei mithilfe des automatischen Aktualisierungsmechanismus.

"SSTFile" ist die zu erstellende SST-Datei. Die generierte SST-Datei enthält die nicht von Microsoft stammenden Stammzertifikate, die mit dem automatischen Aktualisierungsmechanismus heruntergeladen wurden.
CertUtil –generateSSTFromWU TRoots.sst
System_CAPS_ICON_tip.jpg Tipp


Certutil -SyncWithWU -f <folder> aktualisiert vorhandene Dateien im Zielordner.

Certutil -syncWithWU -f -f <folder> entfernt und ersetzt Dateien im Zielordner.

Die folgenden Fehler und Warnungen können beim Ausführen des Befehls Certutil -syncWithWU auftreten:

  • Wenn Sie einen nicht vorhandenen lokalen Pfad oder Ordner als Zielordner angeben, wird folgender Fehler angezeigt:

    Die angegebene Datei wurde nicht gefunden. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Wenn Sie eine nicht vorhandene oder nicht verfügbare Netzwerkadresse als Zielordner angeben, wird folgender Fehler angezeigt:

    Der Netzwerkname wurde nicht gefunden. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Wenn Ihr Server keine Verbindung über TCP-Port 80 mit den Microsoft-Servern für automatische Updates herstellen kann, wird der folgende Fehler angezeigt:

    Die Serververbindung konnte nicht hergestellt werden. 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Wenn Ihr Server die Microsoft-Server für automatische Updates mit dem DNS-Namen "ctldl.windowsupdate.com" nicht erreichen kann, wird der folgende Fehler angezeigt:

    Der Servername oder die Serveradresse konnte nicht aufgelöst werden. 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Wenn Sie die Option -f nicht verwenden und eine der CTL-Dateien bereits im Verzeichnis vorhanden ist, wird ein Fehler vom Typ "Datei vorhanden" angezeigt:

    CertUtil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Eine Datei kann nicht erstellt werden, wenn sie bereits vorhanden ist.

  • Wenn eine Änderung in den vertrauenswürdigen Stammzertifikaten vorliegt wird Folgendes angezeigt: "Warnung! Die folgenden nicht mehr vertrauenswürdigen Stämme wurden gefunden: <Ordnerpfad>\<Fingerabdruck>.crt. Erzwingen Sie mit den Optionen für "-f -f" das Löschen der oben aufgeführten Dateien für ".crt". Wurde "authrootstl.cab" aktualisiert? Falls ja, sollten Sie das Löschen verschieben, bis alle Clients aktualisiert wurden."

Anzeigen: