1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Savitech: USB-Audiotreiber…

Stammzertifizierungsstellen-Zertifikat oder "vertrauenswürdige Herausgeber"

  1. Thema

Neues Thema Ansicht wechseln


  1. Stammzertifizierungsstellen-Zertifikat oder "vertrauenswürdige Herausgeber"

    Autor: ldlx 03.11.17 - 16:51

    Bitte werdet da doch noch etwas konkreter, in welchen Speicher das Zertifikat installiert wird.

    Sollte das Root-Zertifikat für einen Treiber nicht installiert sein, erhält der Benutzer während der Installation eine Meldung, ob er dem Herausgeber vertraut. Da wird es nix mit der unbeaufsichtigten Installation. Ist das Zertifikat der ausgebenden Stelle hingegen in den "vertrauenswürdigen Herausgebern" installiert, so wird der Treiber komplett ohne Meldung installiert.

    Genau dieses Problem hatte ich mal beim Deployment von Computern verschiedenster Modell in einer Einrichtung: Die für Windows 8.1 verfügbaren Treiber für einen älteren AMD-Grafikchip hatten keine Signatur eines Herausgebers, der bereits im Zertifikatespeicher enthälten gewesen wäre. Also habe ich per Skript das ("Root"-)Zertifikat des Herausgebers der Signatur in die "vertrauenswürdigen Herausgeber" importiert und schon ging die Installation ohne Meldung durch.
    --> Ich hätte natürlich auch alle Treiber für alle Modelle ins Basis-Image integrieren können, aber Treiber von 20 verschiedenen Hardware-Modellen Desktop und Notebook zu integrieren macht IMHO keinen Sinn und das System bestimmt nicht schneller und stabiler, also erfolgt die Installation der Treiber modellspezifisch beim ersten Start.

  2. Re: Stammzertifizierungsstellen-Zertifikat oder "vertrauenswürdige Herausgeber"

    Autor: Richtig Steller 04.11.17 - 16:26

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > --> Ich hätte natürlich auch alle Treiber für alle Modelle ins Basis-Image
    > integrieren können, aber Treiber von 20 verschiedenen Hardware-Modellen
    > Desktop und Notebook zu integrieren macht IMHO keinen Sinn und das System
    > bestimmt nicht schneller und stabiler, also erfolgt die Installation der
    > Treiber modellspezifisch beim ersten Start.

    Das ist falsch. Es wäre richtig und besser gewesen die Treiber dem Windows Driver Store hinzuzufügen.

    Ein großer Driver Store hat keinerlei negative Auswirkungen auf die Performance, da Windows eine Liste der vorhandenen Geräte pflegt und nur diese lädt.

    In den Driver Store schaut Windows nur bei der Geräteinstallation. Und auch hier führ ein großer lokaler Driver Store nicht zu längeren Installationen, da Treiber kategorisiert sind und man schnell von Gerätetyp auf Hersteller eingrenzen kann.

    Aber sei es drum: Mit "Trusted Publisher" erlaubst du zumindest keine MITM-Angriffe in Browsern. Es werden aber andere Angriffe denkbar: Es gibt ja die 3 Farben (unsigniert, signiert aber ohne besonderes Vertrauen, vertrauenswürdig) der Benutzerkontensteuerung... wenn Malware signiert mit einem Zertifikat welches du manuell als vertrauenswürdig markiert hast installiert/ausgeführt werden würde, würde der Benutzerkontensteuerung von vertrauenswürdiger Software sprechen weswegen der Anwender evtl. eher geneigt ist der Ausführung zuzustimmen.

    Wenn du darüber hinaus AppLocker etc. einsetzt und Regelsätze hast, die besagtem Herausgeber vertrauen, wäre auch hier ein Angriff denkbar, wenn das Zertifikat in den falschen Händen wäre.

    Das Risiko ist aber nicht neu. Warum auch immer geht man nur davon aus, dass Herausgeber die vom Betriebssystem gepflegt werden "vertrauenswürdiger" sind. Aber wenn Intel bspw. ein Zertifikat was zur Signierung von Software verwendet wird kopiert wird und Intel es evtl, noch gar nicht bemerkt hat oder gar verschweigt (d.h. das Zertifikat nicht widerruft), sind die gleichen Angriffe möglich.

  3. Re: Stammzertifizierungsstellen-Zertifikat oder "vertrauenswürdige Herausgeber"

    Autor: ldlx 04.11.17 - 16:36

    Unzutreffende Treiber NICHT zu installieren, kann NICHT falsch sein. Durch die Installation/Bereitstellung unzutreffender Treiber wird ein System bestimmt nicht schneller, auch wenn es nicht schaden würde.

    Ggf. - und ich hoffe das ist gemeint - ist das pauschale Installieren der Root-Zertifikate des Herstellers ungünstig (dem ich in diesem Fall aber vertraue).

    Und wie genannt... ob ich nun selbst irgendwelche Zertifikate installiere oder auf die Installation von Zertifikaten durch den Betriebssystemhersteller oder gar Dritten vertraue... die Methode, bei einer Installation (mit Admin-Rechten) ein Zertifikat in die vertrauenswürdigen Herausgeber einzufügen, steht nicht nur mir (als Admin der betroffenen Einrichtungen, der hoffentlich weiß, was er tut) sondern auch den Software-Herausgebern offen - kann durch die Weisheit des Erstellers der Installationspakete also jeden treffen.

    Deshalb bekommen die Benutzer ja auch keine Admin-Rechte...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. SIZ GmbH, Bonn
  3. Zentiva Pharma GmbH, Berlin
  4. Hays AG, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 1439,90€ (Vergleichspreis: 1530,95€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Fitnesstracker im Test: Aldi sportlich abgeschlagen hinter Honor und Mi Band 4
Fitnesstracker im Test
Aldi sportlich abgeschlagen hinter Honor und Mi Band 4

Alle kosten um die 30 Euro, haben ähnliche Funktionen - trotzdem gibt es bei aktuellen Fitnesstrackern von Aldi, Honor und Xiaomi spürbare Unterschiede. Als größte Stärke des Geräts von Aldi empfanden wir kurioserweise eine technische Schwäche.
Von Peter Steinlechner

  1. Wearable Acer und Vatikan präsentieren smarten Rosenkranz
  2. Apple Watch Series 5 im Test Endlich richtungsweisend
  3. Suunto 5 Sportuhr mit schlauem Akku vorgestellt

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

  1. Pakete: Neue DHL-Packstationen nur noch mit App nutzbar
    Pakete
    Neue DHL-Packstationen nur noch mit App nutzbar

    Die DHL testet an rund 20 neuen Packstationen den Betrieb nur mit der App. Die Packstationen haben kein Display mehr.

  2. P-CUP: Ultraschnelle Kamera bildet Ausbreitung von Schockwellen ab
    P-CUP
    Ultraschnelle Kamera bildet Ausbreitung von Schockwellen ab

    Sie ist zwar nur ein Zehntel so schnell wie die schnellste Kamera der Welt; aber dafür kann P-CUP schnelle Prozesse in transparenten Objekten erfassen und vielleicht auch die Kommunikation von Nervenzellen untereinander.

  3. Tarife: Noch kein genauer Starttermin für 5G bei Telefónica
    Tarife
    Noch kein genauer Starttermin für 5G bei Telefónica

    Das 5G-Netz der Telefónica wird bereits aufgebaut. Wann es losgehen soll, ist weiterhin unklar. Doch einige Informationen sind bereits verfügbar.


  1. 18:40

  2. 18:22

  3. 17:42

  4. 17:32

  5. 16:02

  6. 15:15

  7. 15:00

  8. 14:45