Ich stelle mal ein Thema hier im Blog ein, auf das mich ein Leser angesprochen hat. Es geht um die Signierung von Treibern für Windows durch Microsoft. Der Leser scheitert daran, einen solch von Microsoft digital signierten Treiber unter Windows 7 zum Laufen zu bringen. Vielleicht hat jemand aus der Leserschaft eine Idee.
Anzeige
Zum Hintergrund: Blog-Leser David Xanatos hat vor einiger Zeit einen Fork von Sandboxie gestartet und entwickelt an diesem Thema (siehe Artikel am Beitragsende). Nun hat David mich per Mail kontaktiert und von einem Problem berichtet, welches er bisher nicht lösen konnte. Er schreibt, dass es mit dem Sandboxie-Fork gut voran geht.
Treiber-Signaturen ausführen
Er hat sogar über seine Kontakte ein EV-Zertifikat bekommen. Damit kann er auch Treiber signieren und die HCK- und HLK-Tests für Windows 7 und Windows 10 durchführen. Werden die Test bestanden, lässt sich der Treiber anschließend bei Microsoft zur Überprüfung hochladen. Das Hardware Partner Portal gibt dann auch einen von MSFT signierten Treiber zurück.
Windows 7 macht Probleme
David schreibt, dass sich die so erhaltenen, von Microsoft signierten, Treiber problemlos unter Windows 10 installieren lassen. Das Problem: Der gleiche Treiber lässt sich nicht auf seiner Windows 7-Testmaschine zum Laufen bringen. Nach einer Woche testen ist David mit seinem Latein am Ende. Er schreibt mir dazu:
Ich weiß das die bis dato häufigste Lösung darin besteht, sich zu dem EV-Zertifikat noch parallel ein normales 'old school' Zertifikat zuzulegen und damit den Treiber für Windows 7 vor der Einreichung bei Microsoft zu signieren. Da die dazugehörigen Cross-Zertifikate in knapp 5 Monaten alle auslaufen und auch nicht wieder verlängert werden (siehe hier und hier), ist dieser Ansatz inzwischen sinnlos geworden.
David meint, dass es laut Microsoft weiterhin möglich sein soll, Treiber, die die HCK-Tests absolviert haben, als Treiber für Windows 7 und Windows 10 WHQL-signieren zu lassen. Wie oben geschrieben, bekommt er diese Treiber aber nicht unter Windows 7 zum Laufen. Auf seinen Windows 7 Testsystemen ist das SHA256 Code Signing Update drauf, so das diese mit den neuen Signaturen umgehen können müssten.
Anzeige
Es wäre natürlich ein Problem, wenn die Möglichkeit zur Signierung von Windows 7-Treibern wegfällt. Die Frage an die Leserschaft lautet, ob jemand aus der Entwicklerecke mit den obigen Informationen etwas anfangen kann und möglicherweise eine Lösung kennt.
Ähnliche Artikel:
Sophos gibt Sandboxie 5.31.4 als Tool frei
Sandboxie ist nun Open Source
DiskCryptor-Nachfolger von David Xanatos
Sandboxie Build 0.3/5.42 verfügbar
Anzeige
Ein Bericht, der vergleichbares zeigt:
Ich besitze ein Notebook mit einem Intel Core i7-6500U, welches noch mit Windows 7 (x64) betrieben wird (aber nirgendwo am Internet hängt). Das System ist – soweit es geht – vollständig upgedated (Stand 2020-1 +Wallpaper-Fix; kein ESU) und besitzt ein Update für die Root-Zertifikate (Stand 2020).
Der Intel Grafiktreiber 15.45.31.5127 funktioniert einwandfrei, die Version 15.45.32.5145 meldet Fehler bei der Treibersignatur und die Version 15.45.33.5164 funktioniert wieder. Alle Fehler beim 15.45.32.5145er Treiber konnte ich mittels "/DISABLE_INTEGRITY_CHECKS /TESTSIGNING" in den LoadOptions umgehen.
Signaturen der "igdkmd64.sys" sind folgende:
15.45.31.5127 -> SHA1: Intel Corporation (Fingerprint 2f2c3181bfc595cbe6ef6bf75e9b3391e68fb464) & SHA256: Microsoft Windows Hardware Compatibility Publisher (Fingerprint 2ba2aecc0109c312674793ffc1fe03f757b75b21)
15.45.32.5145 -> SHA256: Intel(R) pGFX 2020 (Fingerprint f7fb87f1830a5a3a22c40d076e68df1e1b7b2bfc) & SHA256: Microsoft Windows Hardware Compatibility Publisher (Fingerprint 07a5509b253a840eb98f221b72b732c9482342c8) & SHA256: Microsoft Windows Hardware Compatibility Publisher (Fingerprint 07a5509b253a840eb98f221b72b732c9482342c8)
15.45.33.5164 -> SHA256: Intel(R) pGFX 2020 (Fingerprint f7fb87f1830a5a3a22c40d076e68df1e1b7b2bfc) & SHA256: Microsoft Windows Hardware Compatibility Publisher (Fingerprint a3165bf7f09b48194c3724707023cda874710d16)
Eventuell hilft die Info weiter.
Viele Grüße
Also "/DISABLE_INTEGRITY_CHECKS /TESTSIGNING" ist nicht Massentauglich.
Das ist im Kontext von sandboxie ja so wie: Lassen Aie die Kellertür offen um die Fenster im ersten Stock abzusichern.
Wollte ich damit auch nicht empfehlen.
Da ich mich mit dem Signaturkram nicht auskenne, war es nur ein Hinweis darauf, dass ein vergleichbares Problem bei den Intel-Grafiktreibern aufgetreten ist. Eventuell kann man aus den Unterschieden bei der Signierung etwas ableiten.
Viele Grüße
Da ich nicht aus der IT stamme und in Bezug auf die IT nur Normalverbraucher bin, betrachte ich das Ganze aus einem anderen Blickwinkel:
Microsoft will gar nicht, dass die Treiber unter Windows 7 laufen. Auch wenn Microsoft das Gegenteil behauptet.
Hat das vielleicht damit was zu tun? https://web.archive.org/web/20180711092011/https:/blogs.msdn.microsoft.com/windows_hardware_certification/2016/07/26/driver-signing-changes-in-windows-10-version-1607/ – der originale Link von MS ist tot.
Auszug:
"How do I sign a driver so that it is compatible with Windows Vista, Windows 7, Windows 8, Windows 8.1, and Windows 10?
All you need to do is run the HLK tests for Windows 10 and run the HCK tests for Windows 8.1 and earlier versions as you have in the past. Then, using the Windows 10 HLK, merge the two test logs and submit your driver along with the merged HLK/HCK test results to the Windows Hardware Developer Center Dashboard portal. The portal will sign the driver correctly such that it will work on all platforms that you indicate."
Aufmerksam bin ich auf die Unterschiede bei der Treibersignatur durch die MSI-Installation des SecurePoint SSLVPN-Clients geworden, da unter Win10 (ohne Workaround) der Win7-Treiber installiert wurde, aber auch nicht korrekt signiert wurde: https://sourceforge.net/p/securepoint/discussion/1029766/thread/0c9010b789/ – da wurde die Signatur des Win7-Treiber in Win10 auch als gültig gemeldet, ließ sich aber trotzdem nicht laden.
Habs noch noch nicht in der anderen Richtung ausprobiert, werde mir dazu mal ein Win7-VM installieren.
Der Support für Windows 7 ist (im Prinzip) vorbei. MS wird die Treibersignierung für Win 7 Treiber nicht mehr unterstützen.
Das mag MS so halten. Aber dann auch nicht die Installation unsignierter Treiber blocken. – Wenn man schon ein tadelloses Betriebssystem nur noch auf eigenes Risiko nutzen kann, dann auch ohne Knüppel zwischen den Beinen.
Ich hab auch noch W7 am laufen,
da ich allerlei Programme hab die in der Version nicht auf W10 laufen,
und Updates 4-stellig kosten würden, ohne mehrnutzen, da diese tun was verlangt wird.
Ja, ich habe auch W10 Rechner, aber mein(e) W7 werden noch lange laufen.
Günter erwähnte was von Opatch zum Lücken schließen, funktioniert das?
Da solls ja eine Gratis und eine Firmen Version geben,
wo ist denn da der Unterschied in der Sicherheit?
Die letzen offiziell verfügbaren Updates ließen sich schon nicht installieren,
habs nach x-Versuchen aufgegeben.
Da ich mit meinen alten, aber heiss geliebten W7 immer noch gern ins web gehe,
würde ich die gern kostengünstig absichern wollen, wenn das mit diesen Opatch läuft, hat da wer Erfahrung mit?
Gruß, Gunnar
Arbeite dich mal am Beitrag 0patch fixt 0-Day-Schwachstelle in Windows 7/Server 2008 R2 und den am Artikelende verlinkten Beiträgen (Stichwort 'Life Extension Projekt' ab.