A Windows felhasználóknak egyre nagyobb figyelmet kell fordítaniuk a számítógépre telepített tanúsítványokra. Legutóbbi bizonyítvány botrányok Lenovo Superfish, Dell eDellRoot és Comodo PrivDog ismét jelezze, hogy a felhasználónak nemcsak új alkalmazások telepítésekor kell lennie óvatosnak, hanem egyértelműen meg kell értenie, hogy a szoftver gyártója és milyen szoftvereket és tanúsítványokat előre telepített a rendszerbe. A hamis vagy speciálisan létrehozott tanúsítványok telepítésével a támadók MiTM támadásokat hajthatnak végre (közép-ember), elfoghatják a forgalmat (beleértve a HTTPS-t is), lehetővé teszik a rosszindulatú programok és szkriptek indítását stb..
Általában ezeket a tanúsítványokat a Windows Trusted Root Certification Authority tárolóba telepítik. Lássuk, hogyan ellenőrizheti a Windows tanúsítványtárolójában harmadik fél tanúsítványait.
Általában egy tanúsítványtárolóban Megbízható gyökértanúsító hatóságok csak a Microsoft részéről a program részeként hitelesített és közzétett megbízható tanúsítványoknak kell jelen lenniük Microsoft megbízható gyökértanúsító program. A segédprogram segítségével ellenőrizheti, hogy a tanúsítványtárolóban vannak-e harmadik fél tanúsítványai Sigcheck (a Sysinternals eszközkészletből).
- Töltse le a segédprogramot Sigcheck a Microsoft webhelyéről (https://technet.microsoft.com/en-us/sysinternals/bb897441.aspx)
- Csomagolja ki az archívumot Sigcheck.fütyülés egy tetszőleges könyvtárba (például C: \ install \ sigcheck \)
- Nyisson meg egy parancssort és váltson a könyvtárra a segédprogrammal: cd C: \ install \ sigcheck \
- A parancssorban futtassa a parancsot
sigcheck.exe-tv, vagysigcheck64.exe -tv(a Windows 64 bites verzióján) - Az első indításkor a sigcheck segédprogram megkéri Önt, hogy fogadja el a használati feltételeket
- Ezt követően a segédprogram letölt a Microsoft webhelyéről, és elhelyezi az archív könyvtárat. authrootstl.taxi az MS gyökér tanúsítványok listájával, tanúsítási megbízhatósági lista formátumban.tanács. Ha a számítógépnek nincs közvetlen internetkapcsolata, az authrootstl.cab fájl letölthető önállóan a http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab webhelyről, és manuálisan elhelyezhető a segédprogram könyvtárában. SigCheck
- A segédprogram összehasonlítja a számítógépre telepített tanúsítványok listáját az MSFT gyökér tanúsítványok listájával az authrootstl.cab fájlban. Abban az esetben, ha harmadik fél tanúsítványai vannak a számítógépes gyökér tanúsítványok listájában, a SigCheck megjeleníti azok listáját. Példánkban van egy tanúsítvány a számítógépen a névvel test1 (Ez egy önaláírt tanúsítvány a New-SelfSignedCertificate parancsmag segítségével, amelyet a PowerShell szkriptkód aláírására hoztam létre.)
- Minden talált harmadik féltől származó tanúsítványt meg kell elemezni annak szükségessége szempontjából, mivel jelen van a megbízható listában. Azt is tanácsos megérteni, hogy melyik program telepítve van és használja azt.tanács. Abban az esetben, ha a számítógép egy domain része, akkor a belső CA gyökér tanúsítványai és a rendszerképbe beépített vagy csoportos házirendek által terjesztett egyéb tanúsítványok, amelyek az MSFT szempontjából megbízhatatlanok lehetnek.
- A tanúsítvány megbízható listájáról történő eltávolításához nyissa meg a tanúsítványkezelő konzolt (msc) és bontsa ki egy konténer Megbízható gyökér tanúsítvány hatóság (Megbízható gyökértanúsító hatóságok) -> tanúsítványok és törölje a SigCheck által megtalált tanúsítványokat.
Ezért a tanúsítványtárolónak a SigCheck segédprogrammal történő ellenőrzését minden rendszeren feltétlenül elvégezni kell, különös tekintettel az előre telepített operációs rendszert futtató OEM számítógépekre és a népszerű torrent-nyomkövetőkön keresztül elosztott különféle Windows-építésekre..
