TechNet
Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2915720

Änderungen an der Windows Authenticode-Signaturüberprüfung

Veröffentlicht: Dienstag, 10. Dezember 2013 | Aktualisiert: Dienstag, 11. Februar 2014

Version: 1.2

Allgemeine Informationen

Kurzzusammenfassung

Microsoft kündigt die Verfügbarkeit eines Updates für alle unterstützten Versionen von Microsoft Windows an, um zu ändern, wie Signaturen für Binärdateien überprüft werden, die mit dem Windows Authenticode Signature Format signiert sind. Die Änderung ist im Security Bulletin MS13-098 enthalten, wird aber erst am 10. Juni 2014 aktiviert. Sobald sie aktiviert ist, lässt das neue Standardverhalten für die Überprüfung der Windows Authenticode Signature keine irrelevanten Informationen mehr in der WIN_CERTIFICATE-Struktur zu. Nach dem 10. Juni 2014 erkennt Windows nicht-kompatible Binärdateien nicht mehr als signiert.

Empfehlung. Microsoft empfiehlt Autoren von ausführbaren Dateien, bis 10. Juni 2014 sicherzustellen, dass alle signierten Binärdateien sich mit diesem neuen Überprüfungsverhalten vertragen, indem sie keine irrelevanten Informationen mehr in der WIN_CERTIFICATE-Struktur enthalten. Microsoft empfiehlt Benutzern weiterhin, diese Änderung entsprechend zu testen, um zu beurteilen, wie sie sich in ihren Umgebungen verhält. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen in dieser Empfehlung.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

VerweiseIdentifizierung
Security Bulletin MS13-098
Allgemeine Informationen Einführung in die Codesignierung
WinVerifyTrust-Funktion
Authenticode Portable Executable Signature Format
Bestimmte Informationen Windows-Programm für Stammzertifikate – Technische Anforderungen

Was genau umfasst diese Empfehlung?
Mit dieser Empfehlung sollen Benutzer über die bevorstehende Änderung informiert werden, wie Windows Authenticode-signierte Binärdateien überprüft. Des Weiteren wird Autoren von ausführbaren Dateien, die Binärdateien mit Windows Authenticode signieren, empfohlen sicherzustellen, dass ihre Signaturen bis 10. Juni 2014 der Änderung entsprechen.

Was ist Windows Authenticode?
Windows Authenticode ist ein digitales Signaturformat, mit dem der Ursprung und die Integrität von Softwarebinärdateien bestimmt werden. Authenticode verwendet mit Public-Key Cryptography Standards (PKCS) #7 signierte Daten und X.509-Zertifikate, um eine mit Authenticode signierte Binärdatei an die Identität eines Softwareherausgeber zu binden. Der Begriff „Authenticode“-Signatur bezieht sich auf ein digitales Signaturformat, das mit der Funktion „WinVerifyTrust“ überprüft wird.

Was ist die S ignatur ü berprüfung für Windows Authenticode?
Die Signaturüberprüfung für Windows Authenticode besteht aus zwei primären Aktivitäten: Signaturüberprüfung bei angegebenen Objekten und Vertrauensverifizierung. Diese Aktivitäten werden von der WinVerifyTrust-Funktion ausgeführt, die eine Signaturüberprüfung ausführt und dann die Anfrage an einen Vertrauensanbieter übergibt, der die Aktivitätskennung unterstützt, falls vorhanden. Weitere technische Informationen zur WinVerifyTrust-Funktion finden Sie unter WinVerifyTrust-Funktion.

Eine Einführung in Authenticode finden Sie unter Einführung in das Signieren von Codes.

Kann ich dieses Signaturüberprüfungsverhalten schon vor dem 10. Juni 2014 aktivieren ?
Ja. Benutzer, die das neue Authenticode Signaturüberprüfungsverhalten vor dem 10. Juni 2014 aktivieren möchten, können dies durch Einstellen eines Schlüssels in der Systemregistrierung tun. Sobald der Schlüssel eingestellt ist, erkennt die Windows Authenticode-Signaturüberprüfung Binärdateien mit Authenticode-Signaturen nicht mehr, die irrelevante Informationen in der Struktur WIN_CERTIFICATE aufweisen. Details zum Aktivieren dieses Registrierungsschlüssels finden Sie unten in den empfohlenen Maßnahmen.

  • Überprüfen des Microsoft-Programms für Stammzertifikate – Technische Anforderungen

    Benutzer, die mehr über das Thema in dieser Empfehlung erfahren möchten, sollten Windows Root Certificate Program – Technical Requirements (Englisch) lesen.

  • Ändern des Signierprozesses von Binärdateien bis 10. Juni 2014

    Nach dem Überprüfen der technischen Details, die der Änderung des Authenticode-Signaturüberprüfungsverhaltens zugrunde liegen, empfiehlt Microsoft Benutzern, sicherzustellen, dass ihre Authenticode-Signaturen keine irrelevanten Informationen in der Struktur WIN_CERTIFICATE enthalten. Microsoft empfiehlt des Weiteren, dass Autoren von ausführbaren Dateien vor dem 10. Juni 2014 überprüfen, ob ihre Authenticode-signierten Binärdateien den neuen Überprüfungsanforderungen entsprechen. Autoren, die das Signieren von Binärdateien geändert haben und das neue Verhalten vor dem 10. Juni 2014 aktivieren möchten, können dies tun. Nach dem 10. Juni 2014 werden Binärdateien mit Signaturen, die nicht dem neuen Überprüfungsprozess entsprechen, als nicht signiert betrachtet. Anleitung finden Sie im Windows-Programm für Stammzertifikate – Technische Anforderungen.

  • Testen der Verbesserung an der Authenticode-Signaturüberprüfung

    Microsoft empfiehlt Endbenutzern zu testen, wie diese Änderung an der Authenticode-Signaturverifizierung sich in ihrer Umgebung verhält, indem sie sie vor dem 10. Juni 2014 aktivieren. Um die Verbesserungen an der Authenticode-Signaturverifizierung zu aktivieren, ändern Sie die Registrierung, indem Sie den Wert EnableCertPaddingCheck wie unten beschrieben hinzufügen.

    Warnung: Wenn Sie diese Schritte durchführen, um die in dem Update MS13-098 enthaltenen Funktionsänderungen zu aktivieren, werden nicht übereinstimmende Binärdateien als nicht signiert betrachtet und daher als nicht vertrauenswürdig dargestellt.

    Hinweis: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

    Führen Sie nach der Installation des Updates MS13-098 Folgendes durch:

    Für 32-Bit-Versionen von Microsoft Windows:

    Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern Sie dann die Datei mit der Dateinamenerweiterung .REG, (z. B. enableAuthenticodeVerification.reg).

    Windows Registrierungs-Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
    "EnableCertPaddingCheck"="1"

    Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken.

    Hinweis: Sie müssen das System neu starten, damit die Änderungen wirksam werden.

    Für 64 -Bit-Editionen von Microsoft Windows:

    Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern Sie dann die Datei mit der Dateinamenerweiterung .REG, (z. B. enableAuthenticodeVerification64.reg).

    Windows Registrierungs-Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
    "EnableCertPaddingCheck"="1"

    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
    "EnableCertPaddingCheck"="1"

    Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken.

    Hinweis: Sie müssen das System neu starten, damit die Änderungen wirksam werden.

    Die Auswirkungen, die durch das Aktivieren der Funktionsänderungen entstehen, sind im Update MS13-098 enthalten . Nicht übereinstimmende Binärdateien werden als nicht signiert betrachtet und daher als nicht vertrauenswürdig dargestellt.

    So deaktivieren Sie die Funktion . Führen Sie die folgenden Schritte durch, um den zuvor hinzugefügten Registrierungswert zu löschen.

    Fügen Sie bei 32-Bit-Versionen von Microsoft Windows folgenden Text in einen Texteditor wie Editor ein. Speichern Sie dann die Datei mit der Dateinamenerweiterung .REG, (z. B. disableAuthenticodeVerification.reg).

    Windows Registrierungs-Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
    "EnableCertPaddingCheck"=-

    Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken.

    Hinweis: Sie müssen das System neu starten, damit die Änderungen wirksam werden.

    Fügen Sie bei 64-Bit-Versionen von Microsoft Windows folgenden Text in einen Texteditor wie Editor ein. Speichern Sie dann die Datei mit der Dateinamenerweiterung .REG, (z. B. disableAuthenticodeVerification64.reg).

    Windows Registrierungs-Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
    "EnableCertPaddingCheck"=-

    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
    "EnableCertPaddingCheck"=-

    Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken.

    Hinweis: Sie müssen das System neu starten, damit die Änderungen wirksam werden.

Zusätzlich empfohlene Handlungen

  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Weitere Informationen finden Sie im Microsoft-Sicherheitscenter.

  • Halten Sie Microsoft-Software auf dem neuesten Stand

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie automatisches Aktualisieren aktiviert und darauf konfiguriert haben, Updates für Microsoft-Produkte bereitzustellen, werden Ihnen die Updates geliefert, sobald sie veröffentlicht werden. Sie sollten aber überprüfen, ob sie installiert sind.

Weitere Informationen:

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (10. Dezember 2013): Die Empfehlung wurde veröffentlicht.
  • V1.1 (13. Dezember 2013): Die Registrierungsschlüsselinformationen in der empfohlenen Maßnahme Testen der Verbesserung an der Authenticode-Signaturüberprüfung wurden korrigiert. Endbenutzer, die die empfohlene Maßnahme übernommen haben oder zu übernehmen planen, sollten sich die überarbeiteten Informationen ansehen.
  • V1.2 (11. Februar 2014): Die Sicherheitsempfehlung wurde erneut veröffentlicht, um Endbenutzer daran zu erinnern, dass die in MS13-098 durchgeführten ruhenden Änderungen am 10. Juni 2014 aktiviert werden. Nach diesem Datum erkennt Windows nicht konforme Binärdateien nicht mehr als signiert. Weitere Informationen finden Sie in den Abschnitten Empfehlung und Empfohlene Maßnahmen in dieser Empfehlung.

Built at 2014-04-18T13:49:36Z-07:00

Anzeigen:
© 2016 Microsoft