Digitale Signaturen

Eine digitale Signatur ist ein Mechanismus, der Benutzern die Sicherheit bietet, dass eine digitale Datei von einer identifizierbaren Quelle stammt und nicht manipuliert wurde. Digitale Signaturen enthalten oft eine Kette von Zertifikaten. Der Herausgeber der digitalen Datei generiert die digitale Signatur anhand eines Zertifikats, das von einer Zertifizierungsstelle ausgestellt wurde. Die Zertifizierungsstelle ist für die Überprüfung der Identität des Herausgebers verantwortlich. Das Zertifikat dieser Zertifizierungsstelle kann wiederum von einer anderen Zertifizierungsstelle ausgestellt worden sein, usw. zurück an die Stammzertifizierungsstelle. (Es kann mehr als eine Wurzel geben.) Auf diese Weise bilden die Zertifikate eine Kette, wie das folgende Diagramm veranschaulicht.

Diagrammbild

Das Windows-Betriebssystem speichert Zertifikate und Listen vertrauenswürdiger und nicht vertrauenswürdiger Herausgeber und Zertifizierungsstellen auf Computer- und Benutzerbasis. Sie können das Zertifikat-Snap-In der Microsoft Management Console verwenden, um die Zertifikate anzuzeigen und zu verwalten, die auf dem Betriebssystem gespeichert sind.

Erfassung digitaler Signatur-DNA

Wenn Sie Anwendungen in AppDNA importieren, erfasst der Importprozess Informationen über alle digitalen Signaturen, die in den Anwendungsdateien gefunden werden. Wenn diese vorhanden sind, befinden sich digitale Signaturen in der Regel in den Portable Executable (PE) -Dateien (wie ausführbare Dateien und DLLs) der Anwendung. Bei Treibern kann sich die digitale Signatur jedoch in einer zugeordneten Katalogdatei befinden.

Der Importprozess extrahiert und speichert die grundlegenden Details und Informationen der Signatur zu jedem Zertifikat in der Zertifikatkette. Der Importprozess versucht festzustellen, ob die Signatur im Kontext der Zertifikatkette auf dem AppDNA-Importcomputer gültig ist. Die Ergebnisse können jedoch auf einem anderen Computer oder Betriebssystem oder für einen anderen Benutzer abweichen, wenn sich die gespeicherten Zertifikatinformationen unterscheiden. Aus diesem Grund führen einige Algorithmen zusätzliche Prüfungen gegen die ausgewählten Betriebssystemimages durch.

Der Importprozess überprüft keine Zertifikatsperrlisten, da dies den Import zu einem inakzeptablen Grad verlangsamen würde.

Nicht vertrauenswürdige Signaturen unter Windows 8 und Windows Server 2012

Windows 8 und Windows Server 2012 blockieren Dateien, die von einem nicht vertrauenswürdigen Herausgeber signiert wurden. Die praktische Wirkung davon hängt davon ab, welche Datei betroffen ist. Wenn es sich um die ausführbare Datei der Hauptanwendung handelt, wird die Anwendung nicht ausgeführt. Windows stellt dem Benutzer eine Meldung zur Verfügung, die erklärt, dass die Anwendung die Signaturanforderung nicht erfüllt. Wenn die betroffene Datei jedoch eine kleinere DLL ist, kann die Anwendung ausgeführt werden, aber schlägt fehl, wenn die Funktionalität, die auf der DLL beruht, aufgerufen wird. Wenn es sich bei der betroffenen Datei um einen Kernelmodustreiber handelt, ist es möglicherweise nicht möglich, den Treiber zu installieren oder auszuführen.

Kernelmodus-Treiber sind Gerätetreiber, die im “Supervisormodus” ausgeführt werden, der im Vergleich zu Treibern, die im Standardbenutzermodus ausgeführt werden, einen privilegierten Zugriff auf Low-Level-Funktionen und Leistungsvorteile bietet. Wenn ein Programm, das im Supervisor-Modus ausgeführt wird, fehlschlägt, kann dies dazu führen, dass das gesamte System fehlschlägt. Windows Server 2012 und 64-Bit-Editionen von Windows 8 blockieren daher die Installation und Ausführung von Kernelmodustreibern, die von einem nicht vertrauenswürdigen Herausgeber signiert sind.

Hinweis: Manchmal kann eine Anwendung mehrere digitale Signaturen von mehr als einem Herausgeber enthalten, z. B. wenn die Anwendung Komponenten von Drittanbietern enthält, die ebenfalls signiert sind.

Algorithmen für Windows 8 und Windows Server 2012

Die folgenden Algorithmen erkennen Dateien, die eine nicht vertrauenswürdige digitale Signatur enthalten. Nicht vertrauenswürdig bedeutet, dass entweder der Herausgeber oder eine der Zertifizierungsstellen in der Kette in der Liste der nicht vertrauenswürdigen Herausgeber und Zertifizierungsstellen angezeigt werden, die im Zielbetriebssystemimage gespeichert sind. Die Ergebnisse für diese Algorithmen hängen daher vom ausgewählten Zielbetriebssystemimage ab.

  • Für Windows 8 und Windows 8.1: WIN8_UNTRUSTED_001
  • Für Windows Server 2012 und Windows Server 2012 R2: W2K12_UNTRUSTED_001

Die Ansichten des Behebungsberichts enthalten Informationen darüber, welche Datei in der Anwendung betroffen ist, ob es sich um einen Treiber handelt, sowie Details zum nicht vertrauenswürdigen Zertifikat.

Sanierung

Bei externen Anwendungen wenden Sie sich an den Hersteller, um eine aktualisierte Version der Anwendung oder des Treibers zu erhalten, die von einem vertrauenswürdigen Herausgeber signiert wurde.

Wenn dies nicht möglich ist, untersuchen Sie, warum sich der Herausgeber oder die Zertifizierungsstelle in der Liste nicht vertrauenswürdiger ist. Sie können das Zertifikat-Snap-In der Microsoft Management Console verwenden, um einen Herausgeber aus der nicht vertrauenswürdigen Liste im Betriebssystemimage zu entfernen. Dies sollte jedoch nicht geschehen, ohne vorher festzustellen, dass sie tatsächlich vertrauenswürdig ist und dass die Anwendung sicher ist und den Sicherheitsrichtlinien entspricht.

Anweisungen zum Öffnen des Zertifikat-Snap-Ins finden SieAnzeigen oder Verwalten von Zertifikatenauf der Microsoft-Website. Nachdem Sie das Zertifikat-Snap-In geöffnet haben, verwenden Sie die Hilfe, um detaillierte Dokumentation zum Anzeigen und Verwalten von Zertifikaten anzuzeigen.