Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2915720

Änderungen an der Windows Authenticode-Signaturüberprüfung

Veröffentlicht: 10. Dezember 2013 | Aktualisiert: 29. Juli 2014

Version: 1.4

Allgemeine Informationen

Kurzzusammenfassung

Microsoft kündigt die Verfügbarkeit eines Updates für alle unterstützten Versionen von Microsoft Windows an, um zu ändern, wie Signaturen für Binärdateien überprüft werden, die mit dem Windows Authenticode Signature Format signiert sind. Die Änderung ist im Security Bulletin MS13-098 enthalten, wird aber nur wahlweise aktiviert. Wenn sie aktiviert ist, lässt das neue Verhalten für die Signaturüberprüfung für Windows Authenticode keine irrelevanten Informationen mehr in der Struktur WIN_CERTIFICATE zu, und Windows erkennt nicht-kompatible Binärdateien nicht mehr als signiert. Möglicherweise macht Microsoft dies in einer zukünftigen Version von Microsoft Windows zum Standardverhalten.

Empfehlung. Microsoft empfiehlt, dass Autoren ausführbarer Dateien erwägen, signierte Binärdateien an den neuen Überprüfungsstandard anzupassen, indem sichergestellt wird, dass sie keine irrelevanten Informationen in der Struktur WIN_CERTIFICATE enthalten. Microsoft empfiehlt Benutzern weiterhin, diese Änderung entsprechend zu testen, um zu beurteilen, wie sie sich in ihren Umgebungen verhält. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen in dieser Empfehlung.

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

Verweise

Identifizierung

Security Bulletin

MS13-098 

Allgemeine Informationen

Einführung in die Codesignierung 
WinVerifyTrust-Funktion 
Authenticode Portable Executable Signature Format

Bestimmte Informationen

Windows-Programm für Stammzertifikate – Technische Anforderungen

Was genau umfasst diese Empfehlung? 
Mit dieser Empfehlung sollen Benutzer über eine optionale Änderung im Hinblick darauf informiert werden, wie Microsoft Windows mit Authenticode signierte Binärdateien überprüft.

Warum wurde diese Empfehlung am 29. Juli 2014 überarbeitet? 
Diese Empfehlung wurde am 29. Juli 2014 überarbeitet, um anzukündigen, dass das strengere, hier beschriebene Verhalten bei der Signaturüberprüfung für Windows Authenticode wahlweise aktiviert und in unterstützten Versionen von Microsoft Windows nicht als Standardverhalten eingerichtet wird.

Wie wird Microsoft das strengere Verhalten bei der Signaturüberprüfung für Windows Authenticode implementieren? 
Am 10. Dezember 2013 veröffentlichte Microsoft das Security Bulletin MS13-098, um den zugrunde liegenden Code für ein strengeres Verhalten bei der Signaturüberprüfung für Windows Authenticode bereitzustellen. Zuvor wurde in dieser Empfehlung angekündigt, dass Microsoft am 12. August 2014 die Änderungen, die mit MS13-098 implementiert wurden, als Standardfunktion aktivieren würde. Bei der Zusammenarbeit mit Kunden an der Anpassung dieser Änderung wurde festgestellt, dass die Auswirkungen auf vorhandene Software hoch sein könnten. Daher plant Microsoft nicht mehr, das strengere Überprüfungsverhalten als Standardanforderung einzurichten. Die zugrunde liegende Funktion für eine strengere Überprüfung bleibt jedoch vorhanden und kann nach Maßgabe des Kunden aktiviert werden.

Wie kann ich das neue Verhalten für die Signaturüberprüfung aktivieren? 
Endbenutzer, die das neue Verhalten bei der Signaturüberprüfung aktivieren möchten, können einen Schlüssel in der Systemregistrierung einstellen. Sobald der Schlüssel eingestellt ist, erkennt die Windows Authenticode-Signaturüberprüfung Binärdateien mit Authenticode-Signaturen nicht mehr, die irrelevante Informationen in der Struktur WIN_CERTIFICATE aufweisen. Benutzer können die Funktion jederzeit deaktivieren, indem sie diesen Registrierungsschlüssel deaktivieren. Anweisungen dazu finden Sie unten in Empfohlene Maßnahmen.

Ich habe diese Änderung aktiviert. Muss ich jetzt etwas unternehmen, damit sie nicht standardmäßig durchgesetzt wird? 
Endbenutzer, die das strengere Überprüfungsverhalten bereits aktiviert haben und keine Probleme hatten, können das Überprüfungsverhalten aktiviert lassen. Endbenutzer, die durch das neue Verhalten Kompatibilitätsprobleme mit Anwendungen haben oder Kunden, die das neue Verhalten einfach deaktivieren möchten, können die Funktion deaktivieren, indem sie den Registrierungsschlüssel EnableCertPaddingCheck entfernen. Anweisungen dazu finden Sie unten in Empfohlene Maßnahmen.

Ich habe diese Änderung nicht aktiviert. Muss ich jetzt etwas unternehmen, damit sie nicht standardmäßig durchgesetzt wird? 
Nein. Das strengere Überprüfungsverhalten, das mit MS13-098 installiert wurde, befindet sich auf dem System, ist aber eine ruhende Funktion, bis sie aktiviert wird.

Wirkt sich das neue Überprüfungsverhalten auf bereits installierte Software aus?
Wenn das neue strengere Überprüfungsverhalten aktiviert ist, gilt es vor allem für übertragbare, ausführbare Binärdateien (portable executable, PE), die mit dem Windows Authenticode Signature Format signiert sind. Binärdateien, die nicht mit diesem Format signiert sind oder nicht WinVerifyTrust zum Überprüfen von Signaturen verwenden, sind nicht betroffen von dem neuen Verhalten betroffen. Die Binärdateien, die am wahrscheinlichsten betroffen sind, sind über das Internet verteilte PE-Installerdateien, die zum Zeitpunkt des Herunterladens angepasst werden. Das häufigste Szenario, in dem Benutzer unter Umständen Auswirkungen feststellen können, ist während des Herunterladens und der Installation neuer Anwendungen. Dies ist nur der Fall, wenn Endbenutzer das strengere Überprüfungsverhalten aktiviert haben. Danach beobachten Benutzer u. U. Warnmeldungen, wenn sie versuchen, neue Anwendungen zu installieren, deren Signaturen der Überprüfung nicht standhalten.

Wirkt sich das neue Überprüfungsverhalten auf AppLocker-Richtlinien aus? 
Bei Endbenutzern, die das strengere Überprüfungsverhalten aktiviert haben, kann u. U. jede AppLocker-Regel beeinträchtigt sein, die sich darauf stützt, dass Dateien signiert sind oder die einen bestimmten Herausgeber erwartet, wenn die Signatur einer Datei die strengeren Anforderungen an die Authenticode Signaturüberprüfung nicht erfüllt.

Wirkt sich das neue Überprüfungsverhalten auf Richtlinien für Softwareeinschränkungen aus? 
Bei Endbenutzern, die das strengere Überprüfungsverhalten aktiviert haben, kann u. U. jede Richtlinien für Softwareeinschränkungen beeinträchtigt sein, die sich darauf stützt, dass Dateien signiert sind oder die einen bestimmten Herausgeber erwartet, wenn die Signatur einer Datei die strengeren Anforderungen an die Authenticode Signaturüberprüfung nicht erfüllt.

Das neue, strengere Überprüfungsverhalten erachtet meine Binärdatei als nicht kompatibel. Welche Möglichkeiten habe ich? 
Wenn eine Binärdatei als nicht kompatibel mit dem strengeren Authenticode Signaturüberprüfungsverhalten erachtet wird, ist dies auf jenen Systemen kein Problem, bei denen das neue Überprüfungsverhalten aktiviert ist, da Microsoft das strengere Verhalten nicht standardmäßig durchsetzt. Um jedoch Probleme mit einer Binärdatei zu beheben, die der Überprüfung auf Systemen nicht standhält, auf denen das neue Überprüfungsverhalten aktiviert wurde, muss die Binärdatei neu signiert werden. Dabei muss das Windows Authenticode Signature Format streng eingehalten werden, und insbesondere dürfen keine überflüssigen Informationen in der Struktur WIN_CERTIFICATE enthalten sein.

Besteht die Möglichkeit, dass eine Signatur als nicht kompatibel mit dem strengeren Überprüfungsprozess erkannt wird, wenn ich mit nicht von Microsoft bereitgestellten Signierungstools signiere? 
Ja. Endbenutzer, die das strengere Überprüfungsverhalten aktivieren möchten und Binärdateien mit nicht von Microsoft bereitgestellten Signierungstools signieren, gehen das Risiko ein, dass Signaturen als nicht kompatibel mit dem strengeren Überprüfungsverhalten erkannt werden. Mithilfe von Microsoft-Produkten oder von Microsoft bereitgestellten Signierungstools wie signtool.exe wird sichergestellt, dass Signaturen als kompatibel erkannt werden.

Was ist Windows Authenticode? 
Windows Authenticode ist ein digitales Signaturformat, mit dem der Ursprung und die Integrität von Softwarebinärdateien bestimmt werden. Authenticode verwendet mit Public-Key Cryptography Standards (PKCS) #7 signierte Daten und X.509-Zertifikate, um eine mit Authenticode signierte Binärdatei an die Identität eines Softwareherausgeber zu binden. Der Begriff „Authenticode“-Signatur bezieht sich auf ein digitales Signaturformat, das mit der Funktion „WinVerifyTrust“ überprüft wird.

Was ist die Signaturüberprüfung für Windows Authenticode? 
Die Signaturüberprüfung für Windows Authenticode besteht aus zwei primären Aktivitäten: Signaturüberprüfung bei angegebenen Objekten und Vertrauensverifizierung. Diese Aktivitäten werden von der WinVerifyTrust-Funktion ausgeführt, die eine Signaturüberprüfung ausführt und dann die Anfrage an einen Vertrauensanbieter übergibt, der die Aktivitätskennung unterstützt, falls vorhanden. Weitere technische Informationen zur WinVerifyTrust-Funktion finden Sie unter WinVerifyTrust-Funktion.

Eine Einführung in Authenticode finden Sie unter Einführung in das Signieren von Codes.

  • Überprüfen des Microsoft-Programms für Stammzertifikate – Technische Anforderungen

    Benutzer, die mehr über das Thema in dieser Empfehlung erfahren möchten, sollten Windows Root Certificate Program – Technical Requirements (Englisch) lesen.

  • Signiervorgänge für Binärdateien verändern

    Nach dem Überprüfen der technischen Details, die der Änderung des Authenticode-Signaturüberprüfungsverhaltens zugrunde liegen, empfiehlt Microsoft Benutzern, sicherzustellen, dass ihre Authenticode-Signaturen keine irrelevanten Informationen in der Struktur WIN_CERTIFICATE enthalten. Microsoft empfiehlt Autoren ausführbarer Dateien außerdem, ihre mit Authenticode signierten Binärdateien an den neuen Überprüfungsstandard anzupassen. Autoren, die ihre Signiervorgänge für Binärdateien geändert haben und das neue Verhalten aktivieren möchten, können dies wahlweise tun. Anleitung finden Sie im Windows-Programm für Stammzertifikate – Technische Anforderungen.

  • Testen der Verbesserung an der Authenticode-Signaturüberprüfung

    Microsoft empfiehlt Endbenutzern zu testen, wie diese Änderung der Authenticode Signaturüberprüfung sich in ihrer Umgebung verhält, bevor sie diese vollständig implementieren. Um die Verbesserungen an der Authenticode Signaturüberprüfung zu aktivieren, ändern Sie die Registrierung und fügen ihr den Wert EnableCertPaddingCheck wie im Folgenden erläutert hinzu.

    Warnung: Wenn Sie diese Schritte durchführen, um die in dem Update MS13-098 enthaltenen Funktionsänderungen zu aktivieren, werden nicht übereinstimmende Binärdateien als nicht signiert betrachtet und daher als nicht vertrauenswürdig dargestellt.

    Hinweis: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

    Führen Sie nach der Installation des Updates MS13-098 Folgendes durch:

    Für 32-Bit-Versionen von Microsoft Windows:

    Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern Sie dann die Datei mit der Dateinamenerweiterung .REG, (z. B. enableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    

    Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken.

    Hinweis: Sie müssen das System neu starten, damit die Änderungen wirksam werden.

    Für 64-Bit-Editionen von Microsoft Windows:

    Fügen Sie den folgenden Text in einen Texteditor, wie z. B. Notepad, ein. Speichern Sie dann die Datei mit der Dateinamenerweiterung .REG, (z. B. enableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    

    Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken.

    Hinweis: Sie müssen das System neu starten, damit die Änderungen wirksam werden.

    Die Auswirkungen, die durch das Aktivieren der Funktionsänderungen entstehen, sind im Update MS13-098 enthalten. Nicht übereinstimmende Binärdateien werden als nicht signiert betrachtet und daher als nicht vertrauenswürdig dargestellt.

     

    So deaktivieren Sie die Funktion. Führen Sie die folgenden Schritte durch, um den zuvor hinzugefügten Registrierungswert zu löschen.

    Fügen Sie bei 32-Bit-Versionen von Microsoft Windows folgenden Text in einen Texteditor wie Editor ein. Speichern Sie dann die Datei mit der Dateinamenerweiterung .REG, (z. B. disableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"=-
    

    Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken.

    Hinweis: Sie müssen das System neu starten, damit die Änderungen wirksam werden.

    Fügen Sie bei 64-Bit-Versionen von Microsoft Windows folgenden Text in einen Texteditor wie Editor ein. Speichern Sie dann die Datei mit der Dateinamenerweiterung .REG, (z. B. disableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"=-
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"=-
    

    Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken.

    Hinweis: Sie müssen das System neu starten, damit die Änderungen wirksam werden.

     

Zusätzlich empfohlene Handlungen

  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Weitere Informationen finden Sie im Microsoft-Sicherheitscenter.

  • Halten Sie Microsoft-Software auf dem neuesten Stand

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie automatisches Aktualisieren aktiviert und darauf konfiguriert haben, Updates für Microsoft-Produkte bereitzustellen, werden Ihnen die Updates geliefert, sobald sie veröffentlicht werden. Sie sollten aber überprüfen, ob sie installiert sind.

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (10. Dezember 2013): Die Empfehlung wurde veröffentlicht.
  • V1.1 (13. Dezember 2013): Die Registrierungsschlüsselinformationen in der empfohlenen Maßnahme Testen der Verbesserung an der Authenticode-Signaturüberprüfung wurden korrigiert. Endbenutzer, die die empfohlene Maßnahme übernommen haben oder zu übernehmen planen, sollten sich die überarbeiteten Informationen ansehen.
  • V1.2 (11. Februar 2014): Die Sicherheitsempfehlung wurde erneut veröffentlicht, um Endbenutzer daran zu erinnern, dass die in MS13-098 durchgeführten ruhenden Änderungen am 10. Juni 2014 aktiviert werden. Nach diesem Datum erkennt Windows nicht konforme Binärdateien nicht mehr als signiert. Weitere Informationen finden Sie in den Abschnitten Empfehlung und Empfohlene Maßnahmen in dieser Empfehlung.
  • V1.3 (21. Mai 2014): Die Empfehlung wurde überarbeitet, um das neue Abschnittsdatum vom 12. August 2014 widerzuspiegeln, wenn nicht konforme Binärdateien nicht mehr als signiert anerkannt werden. Jetzt werden die in MS13-098 durchgeführten ruhenden Änderungen am 12. August 2014 aktiviert, und nicht am 10. Juni 2014.
  • V1.4 (29. Juli 2014): Die Empfehlung wurde überarbeitet, um anzukündigen, dass Microsoft das strengere Überprüfungsverhalten nicht mehr als Standardfunktion unter unterstützten Versionen von Microsoft Windows durchsetzen will. Es bleibt als Auswahlmöglichkeit verfügbar. Weitere Informationen finden Sie im Abschnitt Häufig gestellte Fragen (FAQs) zu dieser Sicherheitsempfehlung.

Seite generiert am 29.07.2014 um 14:38Z-07:00.
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft