Authenticode per GPO deaktivieren

Stehe ich auf Sicherheit? Auf jeden Fall! Doch in genau einem Fall ärgert mich eine Sicherheitseinstellung seit geraumer Zeit: Authenticode

Der Grundgedanke hinter Authenticode ist prima. Wenn Windows signierten Code in ausführbaren Dateien findet, prüft es zuerst beim Herausgeber des jeweils verwendeten Signaturzertifikats, ob das Zertifikat mittlerweile zurückgerufen wurde. Sinnvoll, damit sich zum Beispiel nicht jemand nach dem jüngsten Hacker-Einbruch in eine CA (DigiNotar, aber weitere folgen bestimmt noch) als ein vertrauenswürdiger Softwarehersteller ausgeben kann.

Der Mechanismus tritt allerdings gehörig auf die Bremse, wenn die Prüfung auf zurückgezogene Zertifikate (Abruf der Sperrlisten) mangels einer Internetverbindung gar nicht durchgeführt werden kann. Dies gilt unter Umständen auch, wenn Proxies im Spiel sind – je nach Konfiguration. So startet dann in abgeschotteten Labs der EUEM-Dienst von Citrix EdgeSight auf Terminalservern nicht – so dass effektiv gerade die interessante Daten über die Anmeldung von Benutzern verloren gehen.

Um für einzelne ausführbare Dateien den Authenticode-Mechanismus zu unterbinden, reicht es aus, in das Verzeichnis der Datei (z.B. semsservice.exe) eine Textdatei zu legen, die den Namen und die Dateityperweiterung der Exe-Datei trägt, ergänzt um “.config”, also z.B. semsservice.exe.config

Als Inhalt der Datei sind folgende Zeilen XML-Code zu benutzen:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <runtime>
        <generatePublisherEvidence enabled="false"/>
    </runtime>
</configuration>

Dies hilft vor allem Systemdiensten und –dateien, aber will ich mir diese Mühe für etliche Exe-Dateien für alle User eines Terminalservers machen? Nein. Für den User gibt es eine passende Einstellung im Internet Explorer (Extras / Optionen / Erweitert / Sicherheit / auf zurückgezogene Herausgeberzertifikate prüfen).

2011-09-29 22h05_56

Hier gibt es natürlich auch Schützenhilfe durch eine GPO von Microsoft – allerdings in einer Ecke, die vielen noch unbekannt zu sein scheint, daher dieser Blogbeitrag – gewidmet vor allem einer netten “Pastorin” :-)

Los geht’s!

Ausgangspunkt der Reise ist die GPMC.

2011-09-29 21h07_26

Hier erstelle ich eine neue GPO, natürlich kann man auch eine bestehende GPO überarbeiten.

2011-09-29 21h08_01

2011-09-29 21h10_29

2011-09-29 21h10_59

Allerdings biegen wir nun nicht (wie sonst so oft) in die administrativen Vorlagen ab, sondern wechseln in die “Preferences” zu den “Internet Settings”:

2011-09-29 21h11_50

Hier kann nun mit einem Rechtsklick eine neue Einstellung generiert werden, passend zur Internet Explorer Version:

2011-09-29 21h50_07

Das folgende Dialogfeld ist dem Internet Explorer Einstellungsdialogfeld nachempfunden, um das Setzen von Einstellungen intuitiver zu gestalten, hier kann also genau wie im “echten” Internet Explorer die gewünschte Einstellung getätigt werden – in unserem Fall: “Check for publisher’s certificate revocation”:

2011-09-29 21h50_59

Das war’s – Adiós Authenticode, allerdings ein Kompromiss zu Lasten der Sicherheit…

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

Auf NFS Shares mit Windows zugreifen

  Das eigentlich schon als antiquiert geltende Dateitransfer-Protokoll NFS erfreut sich jüngst einer Renaissance im Storageumfeld, in meinem Umfeld vor allem getrieben von Citrix, denn NFS-Freigaben sind in XenDesktop und XenServer mittlerweile beliebt und gerade in kleineren Installationen aufgrund der niedrigen Einstiegskosten, einfachen Handhabung und einiger systemimmanenter Vorteile (Thin-Provisioning, Fast Cloning) zahlreich vertreten. Ich kenne nun einige Leute, die NFS ganz klar in die Linux-Ecke verorten, stimmt, irgendwo da kommt es ursprünglich her, aber auch mit Windows Systemen kann man auf NFS Shares zugreifen und welche bereitstellen. Zunächst der Zugriff auf eine NFS-Share (in meinen beiden vorangegangenen Blog-Posts habe ich erläutert, wie man NFS-Shares mit FreeNAS oder Open-E bereitstellt), die Bereitstellung von NFS-Shares mit Windows werde ich später mal bloggen. Als Windows System kommt bei mir für diesen Artikel Windows Server 2008 R2 zum Einsatz. Aus der Rol
Mehr anzeigen

Citrix Default Passwords

Wer hat sich schon mal gefragt, wie der Admin-Account der gerade frisch heruntergeladenen Virtual Appliance ist? Oder der Portal-Login für einen NetScaler? Ich habe die Standard-Passwörter (sofern mir bekannt) hier mal in einer Tabelle zusammengefasst. Wenn Ihnen weitere bekannt werden, hinterlassen Sie bitte einen Kommentar auf dieser Site, ich werde den Beitrag dann erweitern. Produkt Username Passwort Konfigurationsweg Access Gateway 5.x admin admin https://<ipaddress>/lp/adminlogonpoint App Controller 2.5 administrator password https://10.20.30.40:4443/ControlPoint Branch Repeater 6.x Admin password http://<ipaddress> CloudPlatform 3.x admin password http://<ipaddress>:8080/client Distributed Virtual Switch Controller admin admin https://<ipaddress> Merchandising Server 2.2 root C1trix321 https://<ipaddress>:/appliance Netscaler nsroot nsroot https://<nsip> VDI-in-a-Box vdiadmin kaviza https://<ip
Mehr anzeigen

Lokales ISO Repository im XenServer anlegen

Bild
Wer hat nicht schon mal einen einzelnen XenServer zum Ausprobieren auf ausrangierter Hardware installiert? Selbst in der Gratis-Edition ("free" lt. Citrix) unterstützt der XenServer Funktionen, die bei anderen Hypervisor-Varianten entweder Geld kosten oder den Einsatz (sprich: Einkauf) zusätzlicher Software erfordern. Wenn man nun bloss einen einzelnen Server betreibt, und ISO Dateien bereitstellen muss, um VMs davon zu installieren, bleiben folgende Möglichkeiten: Einrichten einer Freigabe auf dem PC, mit dem man den XenServer steuert. Dies ist üblicherweise der Rechner, auf dem XenCenter installiert ist. Dabei richtet man vom XenServer aus einen Zugriff auf ein freigegebenes Verzeichnis des Notebooks / der Workstation ein. Vorteil: keine langen Kopieraktionen, keine Synchronisation für neue ISOs Nachteil: wenn Notebook / Workstation nicht verfügbar sind, ist das Storage Repository mit den ISOs auf dem XenServer unbrauchbar. Erfordert zwischen XenServer und Workstatio
Mehr anzeigen