locked
UAC, Authenticode und Sicherheitskataloge - Geht das? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    wenn man seine für Windows entwickelte Anwendung mit Authenticode digital signiert (signtool etc), stellt der UAC-Prompt von Windows 7 nicht mehr "unbekannter Herausgeber" dar, sondern gibt den richtigen Herausgeber an. Dies funktioniert jedoch nur, wenn man die Signatur direkt in der .exe unterbringt. 

    Frage: kann man das auch über eine Katalogdatei erreichen?

    Es ist mir bisher folgendes gelungen:

    - .cdf-Datei erstellen
    - makecat für eine Katalogdatei
    - diese mit signtool sign signieren
    - mit signtool catdb installieren (wahlweise default-store oder system, beides probiert)
    - mit sigcheck (oder signtool) prüfen, das die Signatur akzeptiert ist (klappt gut)

    Soweit sogut, leider akteptiert UAC diese Signatur nicht, sondern schreibt "unbekannt" als Herausgeber. Ich weiss aber, dass es bei Microsoft-Binaries so funktioniert. 

    Was mache ich falsch? Ist das nicht vorgesehen?

    Walter Knupe

     

    • Verschoben Robert Breitenhofer Montag, 28. Februar 2011 16:41 von MSDN zu TechNet verschoben (aus:Windows 7)
    Dienstag, 22. Februar 2011 10:42

Antworten

  • Question
    Anmelden
    0
    Anmelden

    ok, dann hatte ich das falsch im Gedächtnis. Sorry.

    Dann lasse den Process Monitor im Hintergrund laufen und schau wie es bei den MS Exe Dateien geht und warum bei eigenen nicht.

    "A programmer is just a tool which converts caffeine into code" CLIP- Stellvertreter http://www.winvistaside.de/
    Freitag, 25. Februar 2011 13:25

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
     Ich weiss aber, dass es bei Microsoft-Binaries so funktioniert. 
    weil MS ihre Exe Dateien keine CATs nutzen. Die CAT sind nur für Treiber. Die Exe/DLLs haben das Zertifikat in der Datei.
    "A programmer is just a tool which converts caffeine into code" CLIP- Stellvertreter http://www.winvistaside.de/
    • Bearbeitet Andre.Ziegler Freitag, 25. Februar 2011 13:23 mööp, falsch gedacht
    Freitag, 25. Februar 2011 12:59
  • Question
    Anmelden
    0
    Anmelden

    Hmm, was ist dann mit folgendem:

    C:\ >sigcheck.exe /I c:\windows\notepad.exe

Sigcheck v1.71 - File version and signature viewer
Copyright (C) 2004-2010 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\windows\notepad.exe:
    Verified:    Signed
    Catalog:    C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\ntexe.cat
    Signers:
        Microsoft Windows
        Microsoft Windows Verification PCA
        Microsoft Root Certificate Authority
    Signing date:  04:17 14.07.2009
    Publisher:   Microsoft Corporation
    Description:  Editor
    Product:    Betriebssystem Microsoft« Windows«
    Version:    6.1.7600.16385
    File version:  6.1.7600.16385 (win7_rtm.090713-1255)

    Zumindest laut Explorer gibt es kein Zertifikat in der Datei "notepad.exe" selbst. 

    - Walter Knupe

    Freitag, 25. Februar 2011 13:16
  • Question
    Anmelden
    0
    Anmelden

    ok, dann hatte ich das falsch im Gedächtnis. Sorry.

    Dann lasse den Process Monitor im Hintergrund laufen und schau wie es bei den MS Exe Dateien geht und warum bei eigenen nicht.

    "A programmer is just a tool which converts caffeine into code" CLIP- Stellvertreter http://www.winvistaside.de/
    Freitag, 25. Februar 2011 13:25
  • Question
    Anmelden
    0
    Anmelden

    Kein Problem, Danke trotzdem :)  Das mit dem Proxess Monitor werde ich mal versuchen.  

    - Walter Knupe

     

    Freitag, 25. Februar 2011 13:28