none
W2K8 R2 SP1 bcdedit.exe -set testsigning on RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen, ich hab da mal eine Frage.

    Wenn ich mit "bcdedit.exe -set testsigning on" einen Treiber, Kernel Patch... installiere, welcher dementsprechend nicht signiert ist und ich danach wieder "bcdedit.exe -set testsigning off" setze, werden doch die Änderungen sprich der Treiber oder Patch nicht mehr vom Betriebssystem verwendet, da sie nicht signiert sind oder wie funktioniert das genau?

    Vielen Dank schon mal und ein schönes Wochenende.

    Samstag, 5. November 2011 10:24
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Der saubere Weg ist es, wirklich nur signierte Treiber zu verwenden und die Signatur zur Not selbst zu erstellen:

    Der Windows Kernel arbeitet in verschiedenen Layern die verschiedene Restriktionsebenen besitzen.

    // Accept test signed kernel mode signatures
    Bcdedit.exe –set TESTSIGNING ON

    // Do not accept test signed kernel mode signatures
    Bcdedit.exe –set TESTSIGNING OFF

    "Danke Matthias" ... "DDISABLE_INTEGRITY_CHECKS" ist die Signierung der PnP-Treiber und hat nichts damit zu tun.

    Du kannst auch Treiber testen und selbst signieren ...

    http://msdn.microsoft.com/en-us/windows/hardware/gg487328.aspx

    Der saubere Weg ist es, wirklich nur signierte Treiber zu verwenden und die Signatur zur Not selbst zu erstellen, wenn der Hersteller nicht bereit oder in der Lage dazu ist. Der Aufwand ist nicht allzu groß, erst recht, wenn man sowieso eine Zertifizierungsstelle betreibt. Microsoft beschreibt in einem Whitepaper, wie man Kernel-Treiber zertifiziert, auch wenn man als Administrator sonst über keine Erfahrung in der Treiberprogrammierung verfügt. Im Gegensatz zu den teilweise abenteuerlichen Tipps, die im Web kursieren, ist dies für ein Unternehmen die einzig richtige Lösung ... weiterlesen

     

     

    Ich hoffe die Antwort ist verständlich und hat dir weitergeholfen?
    • Falls ja - klicke unter einem Beitrag auf "als Antwort markieren".
    • Wenn nicht - sende bitte mehr Einzelheiten und ev. Log Dateien.
    regards Andreas Brauckmann visit my blog on: http://www.brauckmann.ch




    Samstag, 5. November 2011 12:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    welchen Kernelmode Treiber musst du installieren?

    >werden doch die Änderungen sprich der Treiber oder Patch nicht mehr vom Betriebssystem verwendet, da sie nicht signiert sind oder wie funktioniert das >genau?

    Sobald testsigning nicht mehr aktiv ist, kann der Treiber nicht mehr geladen werden beim Booten.
    Das gleiche gilt für nicht signierten Kernelmode Code, der dann nicht mehr ausgeführt werden kann.

    Mehr dazu hier:

    http://msdn.microsoft.com/en-us/library/windows/hardware/ff548231(v=vs.85).aspx

    Verwechseln sollte man das aber nicht mit der "normalen" Signierung der PnP-Gerätetreiber:

    (wo wir bei DDISABLE_INTEGRITY_CHECKS wären)

    http://msdn.microsoft.com/en-us/library/windows/hardware/ff549724(v=vs.85).aspx

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Samstag, 5. November 2011 12:51
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Der saubere Weg ist es, wirklich nur signierte Treiber zu verwenden und die Signatur zur Not selbst zu erstellen:

    Der Windows Kernel arbeitet in verschiedenen Layern die verschiedene Restriktionsebenen besitzen.

    // Accept test signed kernel mode signatures
    Bcdedit.exe –set TESTSIGNING ON

    // Do not accept test signed kernel mode signatures
    Bcdedit.exe –set TESTSIGNING OFF

    "Danke Matthias" ... "DDISABLE_INTEGRITY_CHECKS" ist die Signierung der PnP-Treiber und hat nichts damit zu tun.

    Du kannst auch Treiber testen und selbst signieren ...

    http://msdn.microsoft.com/en-us/windows/hardware/gg487328.aspx

    Der saubere Weg ist es, wirklich nur signierte Treiber zu verwenden und die Signatur zur Not selbst zu erstellen, wenn der Hersteller nicht bereit oder in der Lage dazu ist. Der Aufwand ist nicht allzu groß, erst recht, wenn man sowieso eine Zertifizierungsstelle betreibt. Microsoft beschreibt in einem Whitepaper, wie man Kernel-Treiber zertifiziert, auch wenn man als Administrator sonst über keine Erfahrung in der Treiberprogrammierung verfügt. Im Gegensatz zu den teilweise abenteuerlichen Tipps, die im Web kursieren, ist dies für ein Unternehmen die einzig richtige Lösung ... weiterlesen

     

     

    Ich hoffe die Antwort ist verständlich und hat dir weitergeholfen?
    • Falls ja - klicke unter einem Beitrag auf "als Antwort markieren".
    • Wenn nicht - sende bitte mehr Einzelheiten und ev. Log Dateien.
    regards Andreas Brauckmann visit my blog on: http://www.brauckmann.ch




    Samstag, 5. November 2011 12:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    welchen Kernelmode Treiber musst du installieren?

    >werden doch die Änderungen sprich der Treiber oder Patch nicht mehr vom Betriebssystem verwendet, da sie nicht signiert sind oder wie funktioniert das >genau?

    Sobald testsigning nicht mehr aktiv ist, kann der Treiber nicht mehr geladen werden beim Booten.
    Das gleiche gilt für nicht signierten Kernelmode Code, der dann nicht mehr ausgeführt werden kann.

    Mehr dazu hier:

    http://msdn.microsoft.com/en-us/library/windows/hardware/ff548231(v=vs.85).aspx

    Verwechseln sollte man das aber nicht mit der "normalen" Signierung der PnP-Gerätetreiber:

    (wo wir bei DDISABLE_INTEGRITY_CHECKS wären)

    http://msdn.microsoft.com/en-us/library/windows/hardware/ff549724(v=vs.85).aspx

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Samstag, 5. November 2011 12:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen, danke für die Antworten. Hilft mir sehr.

    Ich dachte zu erst, ich könnte einen Patch mit TESTSIGNING ON installieren und danach einfach wieder auf TESTSIGNING OFF umstellen.

    Das ich damit sozusagen diese "Beschränkung" umgehe.

    Wünsche Euch einen tollen Samstag Abend.

    Viele Grüße

    Samstag, 5. November 2011 17:32
    |