Советы по безопасности (Microsoft) (2915720)

Изменения в проверке подписи Windows Authenticode

Дата публикации: 10 декабря 2013 г. | Обновлено: 29 июля 2014 г.

Версия: 1.4

Общие сведения

Аннотация

Корпорация Майкрософт объявляет о доступности обновления для всех поддерживаемых выпусков Microsoft Windows, чтобы изменить проверку подписей двоичных файлов, подписанных с помощью формата подписей Windows Authenticode. Данное изменение входит в состав бюллетеня по безопасности MS13-098, но будет включаться только по выбору пользователей. После его применения новый режим проверки подписи Windows Authenticode больше не будет допускать постороннюю информацию в структуре WIN_CERTIFICATE, а в Windows двоичные файлы, которые не соответствуют требованиям, перестанут считаться подписанными. Обратите внимание, что корпорация Майкрософт может реализовать такой режим по умолчанию в будущих выпусках Microsoft Windows.

Рекомендация. Корпорация рекомендует авторам исполняемых файлов привести все подписанные двоичные файлы в соответствие с новым стандартом проверки, убедившись, что у них в структуре WIN_CERTIFICATE нет посторонней информации. Майкрософт также рекомендует пользователям соответствующим образом протестировать это изменение, чтобы оценить его влияние на свои среды. Более подробные сведения см. в разделе Предлагаемые действия данного выпуска советов по безопасности.

Подробная информация

Справочные материалы

Дополнительные сведения о данной проблеме см. в следующих источниках.

Источник	Идентификатор
Бюллетень по безопасности	MS13-098
Общие сведения	Введение в цифровую подпись программы  Функция WinVerifyTrust  Формат подписи Authenticode переносимых исполняемых (PE) файлов
Конкретная информация	Программа корневых сертификатов Windows — технические рекомендации

Часто задаваемые вопросы об обновлении -------------------------------------- **Какова область действия данных советов?**  Эти советы выпущены, чтобы информировать пользователей о необязательном изменении способа проверки в Microsoft Windows двоичных файлов с подписью Authenticode. **Почему 29 июля 2014 года была выпущена новая редакция советов?  **29 июля 2014 года была выпущена эта редакция советов, чтобы объявить о том, что в поддерживаемых выпусках Microsoft Windows описанный здесь режим более строгой проверки подписи Windows Authenticode будет включаться по выбору пользователей, а не по умолчанию. **Как корпорация Майкрософт планирует внедрять этот режим более строгой проверки подписи Windows Authenticode?  **10 декабря 2013 года корпорация Майкрософт выпустила бюллетень по безопасности [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389), чтобы развернуть код, лежащий в основе режима более строгой проверки подписи Authenticode. Ранее в этом выпуске советов было объявлено, что к 12 августу 2014 года корпорация Майкрософт планирует активировать изменения, реализованные с помощью [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389), в качестве функциональности по умолчанию. Однако, работая с пользователями над реализацией этого изменения, мы определили, что это может сильно повлиять на существующее программное обеспечение. Поэтому корпорация Майкрософт больше не планирует принудительно применять режим более строгой проверки в качестве требования по умолчанию. Функциональные возможности более строгой проверки сохраняются, однако включаются по выбору пользователя. **Как включить новый режим проверки подписи?**  Пользователи по желанию могут включить новый режим проверки подписи Authenticode, настроив раздел в системном реестре. После настройки нужного раздела проверка подписи Windows Authenticode больше не будет считать подписанными двоичные файлы с подписями Authenticode, содержащими постороннюю информацию в структуре WIN\_CERTIFICATE. Пользователи могут в любое время отказаться от данной функциональности, отключив этот раздел реестра. Инструкции см. в разделе **Предлагаемые действия** ниже. **Нужно ли после включения этого изменения предпринимать какие-либо действия, чтобы этот режим по умолчанию не применялся принудительно?  **Если пользователи уже включили режим более строгой проверки и никаких проблем не возникло, они могут оставить этот режим включенным. Пользователи, которые столкнулись с проблемами совместимости приложений из-за нового режима или просто хотят отказаться от этого режима, могут отключить эту функциональность, удалив раздел реестра EnableCertPaddingCheck. Инструкции см. в разделе **Предлагаемые действия** ниже. **Нужно ли предпринимать какие-либо действия, чтобы этот режим по умолчанию не применялся принудительно, если это изменение не было включено?  **Нет. Режим более строгой проверки, устанавливаемый вместе с [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389), доступен в системе, но действует только после включения. **Влияет ли новый режим проверки на уже установленное программное обеспечение? **После включения новый режим более строгой проверки подписи, в основном применяется к переносимым исполняемым (PE) двоичным файлам с подписями в формате Windows Authenticode. Новый режим не влияет на двоичные файлы, которые не подписаны с использованием этого формата или не используют WinVerifyTrust для проверки подписей. Вероятнее всего, влиянию подвержены распространяемые через Интернет двоичные файлы PE установщика, которые были сконфигурированы в момент загрузки. Наиболее распространенный сценарий, при котором пользователи могут столкнуться с влиянием нового режима, — во время загрузки и установки новых приложений. Такая ситуация возникает, только если пользователи по собственному выбору включили режим более строгой проверки. После этого пользователи могут получать предупреждающие сообщения при попытке установки новых приложений с подписями, которые не проходят проверку. **Влияет ли новый режим проверки на политики AppLocker?  **У пользователей, которые по собственному выбору включили режим более строгой проверки подписи, это может повлиять на любое правило AppLocker, которое зависит от подписываемых файлов или требует конкретного издателя, если подпись файла не соответствует более строгим требованиям проверки подписи Authenticode. **Влияет ли новый режим проверки на политики ограниченного использования программ?  **У пользователей, которые по собственному выбору включили режим более строгой проверки подписи, это может повлиять на любую политику ограниченного использования программ, которая зависит от подписываемых файлов или требует конкретного издателя, если подпись файла не соответствует более строгим требованиям проверки подписи Authenticode. **В новом режиме более строгой проверки мои двоичные файлы считаются не соответствующими требованиям. Какие возможны варианты?  **Если двоичный файл не соответствует режиму более строгой проверки подписи Authenticode, это не станет проблемой в системах, в которых новый режим проверки не включен, так как корпорация Майкрософт принудительно не применяет этот более строгий режим по умолчанию. Однако, чтобы устранить проблемы с двоичными файлами, которые не прошли проверку, в системах с включенным новым режимом проверки такие двоичные файлы необходимо заново подписать со строгим соблюдением формата подписи Windows Authenticode. В частности в структуре WIN\_CERTIFICATE не должно быть посторонней информации. **Может ли в процессе более строгой проверки подпись быть признана не соответствующей требованиям, если для подписи используются средства подписи сторонних поставщиков?  **Да. Если пользователи, которые по собственному выбору включили режим более строгой проверки, подписывают двоичные файлы с помощью средств подписи сторонних поставщиков, в результате более строгой проверки такие подписи могут быть признаны несоответствующими требованиям. Чтобы подписи признавались как соответствующие требованиям, рекомендуется использовать продукты или средства подписи корпорации Майкрософт, такие как signtool.exe. **Что такое Windows Authenticode?**  Windows Authenticode — это формат цифровой подписи, используемый для определения происхождения и целостности программных двоичных файлов. Authenticode использует подписанные данные стандарта PKCS (Public-Key Cryptography Standards) № 7 и сертификаты X.509 для привязки двоичного файла с подписью Authenticode к удостоверению издателя программного обеспечения. Термином "подпись Authenticode" обозначается формат цифровой подписи, создаваемой и проверяемой с помощью функции WinVerifyTrust. **Что такое проверка подписи Authenticode в Windows?  **Проверка подписи Authenticode в Windows включает две основные операции: проверку подписи для указанных объектов и проверку доверия. Эти операции осуществляются функцией WinVerifyTrust, которая проверяет подпись при передаче запроса поставщику доверия, поддерживающему идентификатор действия (если он имеется). Дополнительные технические сведения о функции WinVerifyTrust см. в статье [Функция WinVerifyTrust](http://msdn.microsoft.com/en-us/library/aa388208(vs.85).aspx). Начальные сведения о функции Authenticode см. в статье [Введение в цифровую подпись программы](http://msdn.microsoft.com/en-us/library/ms537361(v=vs.85).aspx). Предлагаемые действия --------------------- - **Ознакомьтесь с техническими требованиями программы корневых сертификатов Майкрософт** Дополнительные сведения о проблеме, описанной в этих советах, см. в статье [Программа корневых сертификатов Windows — технические рекомендации](http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements.aspx). - **Изменение процессов подписывания двоичных файлов** Майкрософт рекомендует пользователям ознакомиться с техническими сведениями об изменении режима проверки подписи Authenticode и убедиться, что в структуре WIN\_CERTIFICATE их подписей Authenticode не содержится посторонняя информация. Корпорация Майкрософт также рекомендует авторам исполняемых файлов привести свои двоичные файлы с подписью Authenticode в соответствие с новым стандартом проверки. Авторы, которые изменили процессы подписывания своих двоичных файлов и хотят включить новый режим, могут это сделать по собственному выбору. Рекомендации см. в статье [Программа корневых сертификатов Windows — технические рекомендации](http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements.aspx). - **Протестируйте данное улучшение проверки подписи Authenticode** Майкрософт рекомендует пользователям протестировать работу измененного режима проверки подписи Authenticode в своих средах, прежде чем полностью его внедрять. Чтобы включить улучшения проверки подписи Authenticode, измените реестр, добавив значение EnableCertPaddingCheck (подробнее см. ниже). **Предупреждение!** После выполнения действий по включению функциональных изменений, вносимых обновлением [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389), несоответствующие требованиям двоичные файлы будут считаться неподписанными и, соответственно, ненадежными. **Примечание.** Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что вы сумеете устранить проблемы, возникшие вследствие неправильного использования редактора реестра. Ответственность за использование редактора реестра несет пользователь. После установки обновления [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389) выполните указанные ниже действия. **Для 32-разрядных выпусков Microsoft Windows** Вставьте следующий текст в текстовый редактор, например Блокнот. Затем сохраните файл с расширением .reg (например, enableAuthenticodeVerification.reg). ```

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"="1"

  

  
    Для применения данного файла .reg на отдельной системе дважды щелкните его.
  
    **Примечание**.Чтобы изменения вступили в силу, перезапустите систему.
  
    **Для 64-разрядных выпусков Microsoft Windows**
  
    Вставьте следующий текст в текстовый редактор, например Блокнот. Затем сохраните файл с расширением .reg (например, enableAuthenticodeVerification64.reg).
  
    ```

  
        Windows Registry Editor Version 5.00  
        [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
        "EnableCertPaddingCheck"="1"
  
        [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]   
        "EnableCertPaddingCheck"="1"
  
      

Для применения данного файла .reg на отдельной системе дважды щелкните его.

**Примечание**.Чтобы изменения вступили в силу, перезапустите систему.

**Побочные эффекты включения функциональных изменений, вносимых обновлением [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389).** Несоответствующие требованиям двоичные файлы будут считаться неподписанными и, соответственно, ненадежными.

 

**Порядок отключения этой функциональной возможности.** Чтобы удалить ранее добавленное значение реестра, выполните указанные ниже действия.

Для 32-разрядных выпусков Microsoft Windows вставьте приведенный ниже текст в текстовый редактор, например Блокнот. Затем сохраните файл с расширением .reg (например, disableAuthenticodeVerification.reg).

```


    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"=-

  

  
    Для применения данного файла .reg на отдельной системе дважды щелкните его.
  
    **Примечание**.Чтобы изменения вступили в силу, перезапустите систему.
  
    Для 64-разрядных выпусков Microsoft Windows вставьте приведенный ниже текст в текстовый редактор, например Блокнот. Затем сохраните файл с расширением .reg (например, disableAuthenticodeVerification64.reg).
  
    ```

  
        Windows Registry Editor Version 5.00  
        [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
        "EnableCertPaddingCheck"=-
  
        [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]   
        "EnableCertPaddingCheck"=-
  
      

Для применения данного файла .reg на отдельной системе дважды щелкните его.

**Примечание**.Чтобы изменения вступили в силу, перезапустите систему.

 

Дополнительные рекомендации

• Защитите свой компьютер

  Корпорация Майкрософт рекомендует следовать указаниям по применению брандмауэра, антивирусных программ и обновлений программного обеспечения, опубликованным на веб-сайте "Защитите свой компьютер". Для получения дополнительных сведений см. веб-сайт Центра безопасности Майкрософт.

• Своевременно обновляйте программное обеспечение Майкрософт

  Все пользователи программного обеспечения Windows должны применять последние обновления для системы безопасности, чтобы максимально защитить компьютеры. Если вы не уверены в том, что программное обеспечение обновлено, посетите веб-сайт Центра обновления Майкрософт, выполните поиск необходимых обновлений и установите все предложенные высокоприоритетные обновления. Если функция автоматического обновления включена и настроена на загрузку обновлений для продуктов Майкрософт, такие обновления доставляются по мере выпуска, однако следует убедиться в их установке.

Прочие сведения

Программа Microsoft Active Protections Program (MAPP)

Чтобы повысить уровень защиты пользователей, корпорация Майкрософт предоставляет сведения об уязвимостях крупным поставщикам программного обеспечения безопасности перед ежемесячным выпуском обновлений. Эта информация необходима им для усовершенствования программного обеспечения и оборудования для защиты пользователей (антивирусных программ, сетевых систем обнаружения вторжений, а также индивидуальных систем предотвращения вторжений). Сведения о средствах защиты, предоставляемых поставщиками программного обеспечения безопасности, доступны на соответствующих веб-сайтах партнеров, перечисленных в списке партнеров MAPP.

Обратная связь

• Свои вопросы, отзывы, пожелания и предложения вы можете направить, заполнив специальную форму на контактной странице службы поддержки клиентов веб-сайта справки и поддержки Майкрософт.

Поддержка

• Пользователи из США и Канады могут обратиться в службу поддержки по вопросам безопасности. Для получения дополнительных сведений см. веб-сайт Центра справки и поддержки Майкрософт.
• Пользователям в других странах для получения поддержки следует обращаться в местные представительства корпорации Майкрософт. Для получения дополнительных сведений см. веб-сайт Международной поддержки.
• Веб-сайт Microsoft TechNet содержит дополнительные сведения о средствах безопасности, реализованных в продуктах Майкрософт.

Заявление об отказе

Сведения в данном документе предоставляются «как есть», без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.

Редакции

• Вер. 1.0 (10 декабря 2013 г.): Рекомендации опубликованы.
• Вер. 1.1 (13 декабря 2013 г.): Исправлена информация о разделах реестра в предлагаемом действии Протестируйте данное улучшение проверки подписи Authenticode. Пользователям, которые применили или планируют применить данное предлагаемое действие, следует ознакомиться с измененной информацией.
• Вер. 1.2 (11 февраля 2014 г.): Сборник советов выпущен повторно, чтобы напомнить пользователям о том, что реализованные в бюллетене MS13-098 отложенные изменения будут задействованы 10 июня 2014 года. После этой даты в Windows двоичные файлы, которые не соответствуют требованиям, перестанут считаться подписанными. Дополнительные сведения см. в разделах Рекомендация и Предлагаемые действия данного сборника советов.
• Версия 1.3 (21 мая 2014 г.). В новую версию советов добавлены сведения о новой крайней дате 12 августа 2014 года, после которой двоичные файлы, не соответствующие требованиям, больше не будут считаться подписанными. Теперь вместо крайней даты 10 июня 2014 года реализованные в бюллетене MS13-098 отложенные изменения будут задействованы 12 августа 2014 года.
• Версия 1.4 (29 июля 2014 г.). В новую редакцию советов по безопасности добавлена информация о том, что корпорация Майкрософт больше не планирует по умолчанию принудительно применять режим более строгой проверки в поддерживаемых выпусках Microsoft Windows. Эта возможность остается доступной как дополнительная функция. Дополнительные сведения см. в разделе Часто задаваемые вопросы об обновлении.

Время создания страницы: 2014-07-29 14:38Z-07:00.