[English]Microsoft beendet in der ersten Hälfte des Jahres 2021 die Unterstützung für Root-Zertifikate mit Kernel-Mode-Signaturfunktionen im Microsoft Trusted Root Programm. Das führt dazu, dass nicht aktualisierte Treiber unter Windows 10 irgendwann nicht mehr geladen oder installiert werden können.
Anzeige
Ich formuliere es mal so: In gewöhnlich gut unterrichteten Kreisen ist das eigentlich ein alter Hut, war es doch lange angekündigt. Ich bin zum Jahresende durch eine Diskussion auf Twitter erneut auf das Thema gestoßen.
Ich hatte schon im Oktober 2020 im Beitrag Windows 8.1/10 blockt falsch signierte Treiber auf das Problem hingewiesen, das Treiber von Drittanbietern blockiert werden, wenn diese kein korrektes Format mit Signatur in den Katalogdateien aufweisen. Das Ganze wurde per Oktober 2020-Update scharf geschaltet. Die Geschichte geht aber weiter, da in 2021 ab Februar weitere Änderungen anstehen.
Treiber müssen richtig digital signiert sein
Bereits 2015 gab es den Techcommunity-Beitrag Driver Signing changes in Windows 10, der auf die Änderungen bei der Treibersignierung für Windows 10 hinwies und letztmalig im März 2019 aktualisiert wurde. Windows 10 lädt keine neuen Kernel-Mode-Treiber, die nicht durch das Portal signiert sind. Für eine Übergangszeit konnten Treiber aber auch noch mit anderen Zertifikaten digital signiert werden (cross-signing).
Anzeige
Root-Zertifikate mit Kernel-Mode-Signaturfunktionen werden ungültig
Aber das Ganze findet jetzt ein Ende, denn im Jahr 2021 beendet Microsoft die Unterstützung für Root-Zertifikate mit Kernel-Mode-Signaturfunktionen im Microsoft Trusted Root Programm. Treiber mit cross-signed Zertifikaten verlieren dann ihre Vertrauensstellung. Die Kollegen von deskmodder.de haben Ende November 2020 in diesem Beitrag auf diesen Umstand hingewiesen. Vom 22.2.2021 bis zum 15.4.2021 verlieren Treiber mit cross-signed Zertifikaten, abhängig vom Zertifikat, dann ihre Vertrauensstellung und können weder installiert noch geladen werden.
Problem: Alte Treiber mit Drittanbieter-Signatur
Da Treiber nun per Windows Update aktualisiert werden, dürften die meisten Anbieter, die potentiell betroffen waren, eine aktualisierte Version, die durch das Microsoft Portal signiert wurde, ausliefern. Zum Problem wird aber alte Hardware, die durch digital signierte Treiber unterstützt wird, bei denen die Hersteller kein Treiber-Update mehr bereitstellen. Diese Hardware wird dann mangels Treiber nicht mehr funktionieren.
So kann man prüfen oder reagieren
Martin Brinkmann hat auf ghacks.com in diesem Artikel darauf hingewiesen, dass man mit in Visual Studio mitgelieferten Tool SignTool.exe in einer Eingabeaufforderung prüfen kann, ob Treiber noch laufen. Hierzu ist folgender Befehl einzugeben:
signtool verify /v /kp <treiber-name.sys>
Dabei steht <treiber-name.sys> für den betreffenden Treiber. Werden Treiber gefunden, die streiken, gibt es (noch) die Möglichkeit, diese strikte Treiberprüfung unter Windows 10 mit dem Befehl:
bcdedit.exe /set nointegritychecks on
generell zu deaktivieren. Dies reduziert aber die Sicherheit des Systems, da die Integrität der installierten Treiber nicht mehr geprüft wird. Mit dem Befehl:
bcdedit.exe /set nointegritychecks off
lässt sich die strikte Treibersignaturprüfung beim Laden durch Windows 10 wieder reaktivieren. Auf Windows 8.1 und Windows Server 2012 R2 hat das Ganze übrigens keinen Einfluss, da die Änderungen sich auf Windows 10 und die Server-Pendants beziehen.
Im neu für 2021 erwarteten Betriebssystem Windows 10X wird es übrigens nicht mehr möglich sein, (Desktop-)Treiber per .inf-Datei zu installieren. Dort sind nur noch Windows DCH-Treiber zulässig, die über Windows Update kommen. Die Details lassen sich bei den Kollegen nachlesen.
Ähnliche Artikel:
Windows 10 Version 1809-2004: Treiberinstallation per Store kaputt
Problem: Treibersignierung für Windows 7 und 10
Windows 10: Änderungen bei Treiber-Updates ab 5.11.2020
Windows 8.1/10 blockt falsch signierte Treiber
Windows 10 bietet alte/unpassende Intel Treiber-Updates an (Sept. 2020)
Windows 10 V2004: Treibersuche im Internet aus Geräte-Manager entfernt
Anzeige
Ja, da werden ja gewisse HW Hersteller und die Elektro-Schrott-Mafia jubeln.
Wenn ich so schaue kann ich verschiedene Interfaces dann wohl spülen. Die verrichten bis jetzt, obwohl von den jeweiligen Herstellern schon länger nicht mehr unterstützt, hervorragend ihren Dienst. Bei mir geht es in erster Linie um DAW, MIDI und Gitarren Sachen und die kann ich aus persönlichen Gründen nicht einfach durch Neuanschaffungen ersetzen.
So langsam habe ich von diesen M$ Erpresser Methoden wirklich die Schnau… gestrichen voll. Ein Wechsel auf die Linux Schiene ergibt auch wieder ein Gefrickel, bis das alles läuft.
Hallo.
Hier wäre jetzt ein kleines Skript toll, das man über den rechner laufen lässt um eine Auswertung aller installiert Treiber und deren Signaturkompatibilität zu bekommen.
Vlt. hat ja jemand eins und kann es hier verlinken.
MfG Heiko
ich fühl mich wie Gorilla im Nebel …
MS sagt (über Martins Link) bei den FAQ's:
What will happen to my existing signed driver packages?
As long as driver packages are timestamped before the expiration date of the intermediate certificate, they will continue working.
d.h für mich die alten Treiber, die vor dem Ablaufdatum signiert wurden laufen weiter …
Oder doch nicht ?
So verstehe ich das auch. Alles andere wäre auch Wahnsinn, wenn man sich den Haufen Elektroschrott vorstellt, der solch eine Restriktion nachziehen würde.
Falls nicht, handelt es sich eindeutig um Computersabotage. Ich würde eine Strafanzeige gegen den Microsoft Deutschlang Geschäftsführer stellen.
Theoretisch würde das bedeuten, dass man bei der Erstellung durch zurückstellen des Datums das Ganze umgehen kann.
Trotzdem, das Ganze ist Schwachsinn erster Güte. Es gibt Situationen, da nimmt man besser einen angepassten Treiber, beispielsweise eine modifizierte Inf. Dieser Treiber muss dann erneut signiert werden und das kann man auch selbst machen. Habe ich bei einem Gamepad gemacht, dessen Treiber beim erneuten anschließen nicht korrekt installiert bzw. geladen wurde (es wurde der in 8.1 mitgelieferte X360 Pad Treiber genommen). Mit dem modifizierten Treiber keine Probleme mehr.
> d.h für mich die alten Treiber, die vor dem Ablaufdatum signiert wurden laufen weiter …
Jop so verstehe ich es auch, also alles halb so wild…?!
So gesehen ist die Überschrift "(…) Alt-Treiber nicht mehr nutzbar" – bitte verzeihen sie es mir Hr. Born – etwas reißerisch wenn nicht sogar falsch.
Grüße
Martin
Es wäre gut, wenn man an MS melden kann, dass ein bestimmter Treiber in deren Katalog aufgenommen wird. Dann ist er auch signiert. Manche Treiber hat MS auch erfolgreich standardisiert, wie SATA- und NVMe-Treiber.
Ich habe gerade mal stichprobenartig Treiberdateien meines Systems, sowie aktuellste Win10-Treiber für nVidia Quadro oder Realtek LAN von Dezember 2020 usw. mit dem SignCheck.exe-Tool geprüft. Ausnahmslos alle hatten unter "Cross Certificate Chain" den "Microsoft Code Verification Root" Eintrag. Also das was laut verlinktem GHacks-Artikel rot markiert ein Anzeichen sein soll daß der Treiber betroffen ist. Kann ich mir also so nicht vorstellen, evtl. wäre genau andersherum ein Fehlen dieses Eintrags ein Anzeichen für Probleme?
Das wird dann wieder fleißig zur geplanten Obsoleszenz ausgenutzt werden. Treiber läuft nicht mehr? Bitte neues Gerät kaufen!
In absehbarer Zeit wird man Treiber wohl nur noch über WU beziehen können. Dann können viele ältere Geräte direkt entsorgt werden. Wenn man den vollen Funktionsumfang nutzen möchte, werden es dann wahrscheinlich die meisten sein, da es über WU oft nur Basistreiber gibt.
Ein Grund mehr um bei Windows 7 zu bleiben ! (inkl. 0Patch)
Ein Grund mehr um bei Windows 7 zu bleiben ! (inkl. 0Patch)
Meine alte FRITZ!Card ISDN USB bekommt von AVM schon lange keine Treiber mehr. Windows 8 hat die übers Update nachgelierert, und ich habe kürzlich versucht, ob ich die auf Windows 10 übertragen kann. Der Gerätemanager hat es geschluckt, die Software habe ich jedoch noch nicht getestet.
Aber ich habe mit dem SignCheck.exe-Tool die Signaturen überprüft. Angeblich sind alle Treiber unsigniert. Dann hätten die doch gar nicht installiert werden können, oder wie?
also nach meinem Verständnis läuft das so …
MS hat im Trusted Root Programm Zertifikate an externe CA's ausgegeben die demnächst ablaufen. Die Anbieter haben aber darauf aufbauend eigene Zertifikate mit längerer Laufzeit ausgegeben und danit Zertifikate für Kunden erstellt.
so wie bei diesem Treiber:
Cross Certificate Chain:
Issued to: Microsoft Code Verification Root
Issued by: Microsoft Code Verification Root
Expires: Sat Nov 01 14:54:03 2025
SHA1 hash: 8FBE4D070EF8AB1BCCAF2A9D5CCAE7282A2C66B3
Issued to: DigiCert High Assurance EV Root CA
Issued by: Microsoft Code Verification Root
Expires: Thu Apr 15 20:55:33 2021
SHA1 hash: 2F2513AF3992DB0A3F79709FF8143B3F7BD2D143
Issued to: DigiCert High Assurance Code Signing CA-1
Issued by: DigiCert High Assurance EV Root CA
Expires: Tue Feb 10 13:00:00 2026
SHA1 hash: E308F829DC77E80AF15EDD4151EA47C59399AB46
mit dem von "DigiCert High Assurance Code Signing CA-1" ausgegeben Zertifikat kann ich auch noch 05/2021 meinen Treiber signieren.
Nur wird der nicht mehr geladen, da das "DigiCert High Assurance EV Root CA" zu
04/2021 abgelaufen ist.
Sobald also ein Zertifikat in der Kette vom Kunden zum MS Root Zert vor meiner Signierung abgelaufen ist, läuft der Treiber nicht mehr.
PS: normalerweise wird bei WHQL nicht das sys File, sondern das cat File von MS signiert.
Bliebe abzuwarten, was passiert!?
Das Problem ist nur, es kann dann zu spät sein!!!
Aus meiner Sicht wäre hier Microsoft in der absoluten Pflicht (!),
eine Möglichkeit für jeden Nutzer in Klartext bereitzustellen, um in Gänze prüfen zu können , ob Treiber insgesamt betroffen sind oder nicht [sorry, kann da leider nichts erkennen – oder wo soll da etwas sein?] , und zwar ohne erst ein IT – Studium zu absolvieren plus Windows – Experte sein zu müssen (vlt. ist selbst das keine Garantie).
Die Situatiion ist einfach nur höchst desulat nach meinem Empfinden, igendwo muss es ja auch machbar/ effizient sein.
Wenn dem nicht so wäre, sollte vlt. anzunehmen sein, dass diverse professionelle Blogbetreiber auf derartige Möglichkeiten hinweisen würden, dennoch sollten
etwaige Verpflichtungen m. E. allein Microsoft obliegen!!!