Поделиться через


Советы по безопасности Майкрософт 2915720

Изменения в проверке подписи Windows Authenticode

Опубликовано: 10 декабря 2013 г. | Обновлено: 29 июля 2014 г.

Версия: 1.4

Общие сведения

Краткий обзор

Корпорация Майкрософт объявляет о доступности обновления для всех поддерживаемых выпусков Microsoft Windows, чтобы изменить способ проверки подписей для двоичных файлов, подписанных в формате подписи Windows Authenticode. Это изменение включается в бюллетень по безопасности MS13-098, но будет включен только на основе согласия. При включении новое поведение для проверки подписи Windows Authenticode больше не позволит дополнительным сведениям в структуре WIN_CERTIFICATE, и Windows больше не распознает несоответствующие двоичные файлы как подписанные. Обратите внимание, что корпорация Майкрософт может сделать это поведение по умолчанию в будущем выпуске Microsoft Windows.

Рекомендация. Корпорация Майкрософт рекомендует авторам исполняемых файлов учесть соответствие всем подписанным двоичным файлам в новом стандарте проверки, гарантируя, что они не содержат лишних сведений в структуре WIN_CERTIFICATE. Корпорация Майкрософт также рекомендует клиентам соответствующим образом протестировать это изменение, чтобы оценить, как он будет вести себя в своих средах. Дополнительные сведения см. в разделе "Предлагаемые действия ".

Сведения о рекомендациях

Ссылки на проблемы

Дополнительные сведения об этой проблеме см. в следующих ссылках:

Ссылки Идентификация
Бюллетень по безопасности MS13-098 
Общие сведения Общие сведения о формате подписи \ кода WinVerifyTrust function \ Authenticode Portable Исполняемый формат
Конкретные сведения Программа корневого сертификата Windows — технические требования

Вопросы и ответы о рекомендациях

Что такое область рекомендаций? 
Эта рекомендация предназначена для информирования клиентов о необязательных изменениях в том, как Microsoft Windows проверяет двоичные файлы, подписанные Authenticode.

Почему эта рекомендация была изменена 29 июля 2014 г.?
Эта рекомендация была изменена 29 июля 2014 года, чтобы сообщить о том, что более строгое поведение проверки подписи Windows Authenticode, описанное здесь, будет включено на основе согласия и не сделано поведение по умолчанию в поддерживаемых выпусках Microsoft Windows.

Как корпорация Майкрософт реализует более строгое поведение проверки подписи Windows Authenticode?
10 декабря 2013 г. корпорация Майкрософт выпустила бюллетень по безопасности MS13-098 , чтобы развернуть базовый код для более строгого поведения проверки подписи Authenticode. Ранее эта рекомендация объявила о том, что к 12 августа 2014 г. Корпорация Майкрософт будет включать изменения, реализованные с MS13-098 в качестве функций по умолчанию. Однако, когда мы работали с клиентами, чтобы адаптироваться к этому изменению, мы определили, что влияние на существующее программное обеспечение может быть высоким. Поэтому корпорация Майкрософт больше не планирует применять более строгое поведение проверки в качестве требования по умолчанию. Однако базовая функция для более строгой проверки остается на месте и может быть включена по усмотрению клиента.

Как включить новое поведение проверки подписи? 
Клиенты, которые хотели бы включить новое поведение проверки подписи Authenticode, могут сделать это, задав ключ в системном реестре. При установке ключа проверка подписи Windows Authenticode больше не распознает двоичные файлы с подписями Authenticode, которые содержат дополнительные сведения в структуре WIN_CERTIFICATE. Клиенты могут в любое время отключить функциональные возможности, отключив этот раздел реестра. Инструкции см . в разделе "Предлагаемые действия ".

Я включил это изменение, нужно ли делать что-нибудь сейчас, когда оно не будет применяться по умолчанию?  Клиенты, которые уже включили более строгое поведение проверки и не столкнулись с проблемами, могут оставить поведение проверки включено. Клиенты, которые сталкиваются с проблемами совместимости приложений с новым поведением или клиентами, которые просто хотят отключить новое поведение, могут отключить эту функцию, удалив раздел реестра EnableCertPaddingCheck. Инструкции см . в разделе "Предлагаемые действия ".

Я не включил это изменение, нужно ли делать что-нибудь сейчас, когда оно не будет применяться по умолчанию?
№ Более строгое поведение проверки, установленное с MS13-098 , будет находиться в системе, но будет постоянно функциональностью до включения.

Влияет ли новое поведение проверки на уже установленное программное обеспечение?
Новое более строгое поведение проверки при включении применяется в основном к переносимым двоичным файлам (PE), подписанным с помощью формата подписи Windows Authenticode. Двоичные файлы, которые не подписаны с этим форматом или не используют WinVerifyTrust для проверки того, что подписи не влияют на новое поведение. Двоичные файлы, скорее всего, будут затронуты файлами установщика PE, распределенными через Интернет, которые настраиваются во время скачивания. Наиболее распространенный сценарий, в котором пользователи могут воспринимать влияние, заключается в скачивании и установке новых приложений. Это происходит только в том случае, если клиенты решили включить более строгое поведение проверки, после чего пользователи могут наблюдать предупреждения при попытке установить новые приложения с подписями, которые завершаются проверкой.

Влияет ли новое поведение проверки на политики AppLocker?
Для клиентов, которые решили включить более строгое поведение проверки подлинности, любое правило AppLocker, которое зависит от подписанных файлов или ожидает определенного издателя, может повлиять, если подпись в файле не соответствует более строгим требованиям проверки подписи Authenticode.

Влияет ли новое поведение проверки на политики ограничений программного обеспечения?
Для клиентов, которые решили включить более строгое поведение проверки, любая политика ограничений программного обеспечения, которая зависит от подписанных файлов или ожидает определенного издателя, может повлиять, если подпись файла не соответствует более строгим требованиям проверки подписи Authenticode.

Новое более строгое поведение проверки считает, что мой двоичный файл не соответствует требованиям. Что можно сделать?
Если двоичный файл считается несовместимым с более строгим поведением проверки подписи Authenticode, это не будет проблемой в системах, которые не включили новое поведение проверки, так как Корпорация Майкрософт по умолчанию не применяет более строгое поведение. Тем не менее, чтобы исправить проблемы с двоичной проверкой в системах, где было включено новое поведение проверки, этот двоичный файл должен быть повторно подписан с строгим соблюдением формата подписи Windows Authenticode и, в частности, не включать дополнительные сведения в структуру WIN_CERTIFICATE.

Существует ли какая-либо возможность признания подписи несоответствующей более строгой процедуре проверки, если я подписываюсь с помощью средств подписи, предоставляемых корпорацией Майкрософт?
Да. Для клиентов, которые предпочитают включить более строгое поведение проверки, двоичные файлы подписи с помощью средств подписи, предоставляемых не корпорацией Майкрософт, рискуют распознать подписи как несовместимые с более строгим поведением проверки. Использование продуктов Майкрософт или средств подписи, таких как signtool.exe, помогает гарантировать, что подписи распознаются как соответствующие.

Что такое Windows Authenticode? 
Windows Authenticode — это формат цифровой подписи, используемый для определения происхождения и целостности двоичных файлов программного обеспечения. Authenticode использует стандарты шифрования открытого ключа (PKCS) #7, подписанные данные и сертификаты X.509, чтобы привязать двоичный файл, подписанный Authenticode, к удостоверению издателя программного обеспечения. Термин "Подпись Authenticode" относится к формату цифровой подписи, который создается и проверяется с помощью функции WinVerifyTrust.

Что такое проверка подписи Windows Authenticode?
Проверка подписи Windows Authenticode состоит из двух основных действий: проверка подписи для указанных объектов и проверки доверия. Эти действия выполняются функцией WinVerifyTrust, которая выполняет сигнатуру проверка затем передает запрос поставщику доверия, поддерживающему идентификатор действия, если он существует. Дополнительные технические сведения о функции WinVerifyTrust см. в статье о функции WinVerifyTrust.

Введение в Authenticode см. в разделе "Общие сведения о подписи кода".

Предлагаемые действия

  • Ознакомьтесь с техническими требованиями программы корневого сертификата Майкрософт

    Клиенты, которые заинтересованы в изучении дополнительных сведений об этой рекомендации, должны ознакомиться с программой корневого сертификата Windows — технические требования.

  • Изменение процессов двоичного подписывания

    После просмотра технических сведений, связанных с изменением поведения проверки подписи Authenticode, корпорация Майкрософт рекомендует клиентам убедиться, что их подписи Authenticode не содержат лишних сведений в структуре WIN_CERTIFICATE. Корпорация Майкрософт также рекомендует авторам исполняемых файлов соответствовать их двоичным файлам, подписанным Authenticode, новым стандартом проверки. Авторы, которые изменили свои двоичные процессы подписывания и хотели бы включить новое поведение, может сделать это на основе согласия. Дополнительные сведения см. в разделе "Программа корневого сертификата Windows" — технические требования .

  • Проверка улучшения проверки подписи Authenticode

    Корпорация Майкрософт рекомендует клиентам проверить, как это изменение выполняет проверку подписи Authenticode в своей среде, прежде чем полностью реализовать ее. Чтобы включить улучшения проверки подписи Authenticode, измените реестр, чтобы добавить значение EnableCertPaddingCheck, как описано ниже.

    Предупреждение о том, как включить изменения функциональных возможностей, включенные в обновление MS13-098 , приведет к тому, что несоответствующие двоичные файлы будут отображаться без знака и, следовательно, отображать их ненадежными.

    Обратите внимание , что при неправильном использовании редактора реестра могут возникнуть серьезные проблемы, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не может гарантировать, что вы можете решить проблемы, возникающие в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя.

    После установки обновления MS13-098 выполните следующие действия:

    Для 32-разрядных версий Microsoft Windows

    Вставьте следующий текст в текстовый редактор, например Блокнот. Затем сохраните файл с помощью расширения имени файла .reg (например, enableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"="1"  
    

    Этот .reg файл можно применить к отдельным системам, дважды щелкнув его.

    Примечание. Чтобы изменения вступили в силу, необходимо перезапустить систему.

    Для 64-разрядных версий Microsoft Windows

    Вставьте следующий текст в текстовый редактор, например Блокнот. Затем сохраните файл с помощью расширения имени файла .reg (например, enableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"="1"
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    

    Этот .reg файл можно применить к отдельным системам, дважды щелкнув его.

    Примечание. Чтобы изменения вступили в силу, необходимо перезапустить систему.

    Влияние включения изменений функций, включенных в обновление MS13-098 . Несоответствующие двоичные файлы будут отображаться без знака и, следовательно, будут отображаться ненадежными.

    Как отключить функциональные возможности. Выполните указанные ниже действия, чтобы удалить ранее добавленное значение реестра.

    Для 32-разрядных версий Microsoft Windows вставьте следующий текст в текстовый редактор, например Блокнот. Затем сохраните файл с помощью расширения имени файла .reg (например, disableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"=-
    

    Этот .reg файл можно применить к отдельным системам, дважды щелкнув его.

    Примечание. Чтобы изменения вступили в силу, необходимо перезапустить систему.

    Для 64-разрядных версий Microsoft Windows вставьте следующий текст в текстовый редактор, например Блокнот. Затем сохраните файл с помощью расширения имени файла .reg (например, disableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"=-
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"=-
    

Этот .reg файл можно применить к отдельным системам, дважды щелкнув его.

Примечание. Чтобы изменения вступили в силу, необходимо перезапустить систему.

Дополнительные предлагаемые действия

  • Защита компьютера

    Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Дополнительные сведения см. в центре безопасности Майкрософт Сейф ty и безопасности.

  • Обновление программного обеспечения Майкрософт

    Пользователи, работающие под управлением программного обеспечения Майкрософт, должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно скорее. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Центр обновления Майкрософт, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если вы включили автоматическое обновление и настроили для предоставления обновлений для продуктов Майкрософт, обновления доставляются вам при их выпуске, но убедитесь, что они установлены.

Другие сведения

Программа Microsoft Active Protections (MAPP)

Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).

Feedback

  • Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.

Поддержка

  • Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения см. в справке и поддержке Майкрософт.
  • Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения см. в статье "Международная поддержка".
  • Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.

Заявление об отказе

Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

  • Версия 1.0 (10 декабря 2013 г.): рекомендации, опубликованные.
  • Версия 1.1 (13 декабря 2013 г.): исправлены сведения раздела реестра в тестовом действии проверки подписи Authenticode. Клиенты, которые применили или запланировали применение предлагаемого действия, должны просмотреть измененную информацию.
  • Версия 1.2 (11 февраля 2014 г.): Повторное выполнение рекомендаций в качестве напоминания клиентам о том, что неактивные изменения, реализованные с MS13-098, будут включены 10 июня 2014 года. После этой даты Windows больше не распознает несоответствующие двоичные файлы как подписанные. Дополнительные сведения см. в разделах "Рекомендации и предлагаемые действия ".
  • Версия 1.3 (21 мая 2014 г.): изменены рекомендации по отражению новой 12 августа 2014 г. даты отсечения, когда несоответствующие двоичные файлы больше не будут признаны подписанными. Теперь, вместо 10 июня 2014 г. дата отключения, неактивные изменения, реализованные с MS13-098, будут включены 12 августа 2014 года.
  • Версия 1.4 (29 июля 2014 г.): пересмотренная рекомендация по объявлению о том, что корпорация Майкрософт больше не планирует применять более строгое поведение проверки в качестве функции по умолчанию в поддерживаемых выпусках Microsoft Windows. Она остается доступной в качестве функции согласия. Дополнительные сведения см. в разделе "Вопросы и ответы о рекомендациях".

Страница создана 2014-07-29 14:38Z-07:00.