Titel

Kann mir mal jemand erzählen, warum die Treibersignierung als grosses Sicherheitsfeature beworben wird?

Ein altes Sprichwort sagt:
Wenn du ein kompromittiertes File ausführst, formatier die Platte - wenn der Cracker sein Werk gut gemacht hat, bekommst du die Kiste nicht mehr sauber!
(Es gab ja zudem auch erfolgreiche Hacks auf die Signierung)

Was nützt das ganze also? Festplatte putzen ist eh angesagt!

PS: Wäre es von Anfang an als Stabiltätsfeature beworben worden, gäbe es diesen Thread nicht!
Ein sicheres Betriebssystem auch ist nicht das System, das immernoch ganz gut läuft, obwohl man 30 Virenfiles ausgeführt hat...das verstehen viele Leute irgendwie grundlegend falsch!
Das sind keine Sicherheitsfunktionen, das ist eher ein "Software Babysitter"

Was zum Teufel willst du damit sagen?

Es geht wohl eher darum dass nicht jede nudelbude Kerneltreiber schreiben darf und es dann heißt Vista ist instabil.

Ist doch bei MacOSX genauso.

Es geht wohl eher darum dass nicht jede nudelbude Kerneltreiber schreiben darf und es dann heißt Vista ist instabil.


Warum sagt man es dann nicht so, und verkauft es stattdessen als Sicherheitsfeature?

Und warum nur für die 64Bit Edition??? So kann weiterhin jede "Nudelbude" für die zu 90% installierte 32Bit Edition schreiben, auf das es heisst, Vista sei instabil

Weil es zu viel Aufwand verursachen würde alle Treiber nachzuzertifizieren. Im 64Bit Umfeld sind die meisten Treiber neu.

Es kann weiterhin jede Nuddelbudekerneltreiber schreiben, nur muss sie sich identifzieren lassen und MS kann sie dann sicher identifizieren und wenn mal will auch gleich mal abschalten (http://www.heise.de/newsticker/meldung/93989).

Weil es zu viel Aufwand verursachen würde alle Treiber nachzuzertifizieren. Im 64Bit Umfeld sind die meisten Treiber neu.

Was für ein Unsinn....Vista hat doch ein gänzlich neues Treibermodell, d.h. es wurden genauso alle neu entwickelt wie für die 64Bit Edition...

Es mag sein, das in Einzelfällen XP Treiber laufen, aber das hat bei Bekannten die Vista fahren, schon mehrfach zu Crahes geführt
Also warum MS das z.B. nun erlaubt , ist mir absolout schleierhaft...

Am Ende ist alles nur eine große Plattform für DRM...

Don't feed the troll!

Die erhöhte Sicherheit, die Microsoft damit meint, bezieht sich natürlich allein auf Kernel-Mode Treiber (das ist ja Gegenstand der Signierung), die jetzt signiert sein müssen, sonst werden sie nicht geladen.
Zusätzlich bekommt man im Falle des Falles eben heraus, wer es war und kann die Signatur sperren.
Beides ist vorteilhaft, also wird es auch beworben.

Böse Programme können aber weiterhin die Platte von den geliebten MP3 befreien.

Was für ein Unsinn....Vista hat doch ein gänzlich neues Treibermodell, d.h. es wurden genauso alle neu entwickelt wie für die 64Bit Edition...

;D .... negative.

*edit*
Da gerade aktuell und zum Thema passend:
http://www.heise.de/newsticker/meldung/93989

Warum sagt man es dann nicht so, und verkauft es stattdessen als Sicherheitsfeature?

Wo wurde das als Sicherheitsfeature verkauft? Im Gegenteil: In einem Blog wurde nochmal betont, dass dies kein Sicherheitsfeature ist, sondern der Stabilität dient und dem Anwender die Möglichkeit geben soll, genau nachzuvollziehen, von wem ein ggf. problematischer Treiber stammt.

Ohne Signatur kann sich jeder beliebiger, nicht nachvollziehbarere Treiber im System einschleichen.

Und warum nur für die 64Bit Edition??? So kann weiterhin jede "Nudelbude" für die zu 90% installierte 32Bit Edition schreiben, auf das es heisst, Vista sei instabil
Wegen dem Mantra: Kompatibilität ist alles.

Aber ich gebe Dir ansonsten vollkommen recht.

Naja...

Wär ich nun Malware, würde ich einfach als erstes, Adminrechte sind ja meisst da, nen Zertifikat einfügen, mit welchem das Teil signiert wurde... M$ hat diesen Weg glücklicherweise vorgegeben und in einem 2 MB grossen Wordfile auch gleich dokumentiert.

Naja...

Wär ich nun Malware, würde ich einfach als erstes, Adminrechte sind ja meisst da, nen Zertifikat einfügen, mit welchem das Teil signiert wurde... M$ hat diesen Weg glücklicherweise vorgegeben und in einem 2 MB grossen Wordfile auch gleich dokumentiert.

Kann man denn, selbst als Admin, ohne Rückfrage an den Anwender eine vertauenswürdige Zertifizierungsstelle (denn genau das braucht man) installieren?

Und müssen die vertauenswürdigen Zertifizierungsstellen nicht selbst wieder zertifiziert und signiert sein?

Naja...

Wär ich nun Malware, würde ich einfach als erstes, Adminrechte sind ja meisst da, nen Zertifikat einfügen, mit welchem das Teil signiert wurde... M$ hat diesen Weg glücklicherweise vorgegeben und in einem 2 MB grossen Wordfile auch gleich dokumentiert.
Also könnte jeder Entwickler sein komplett selbst erstelltes Zertifikat bereitstellen und dann damit seine Software signieren und es würde auch unter Vista x64 funktionieren, wenn der Benutzer vorher das Zertifikat einpflegt? Dann wäre das ja nur etwas mehr Aufwand für Anwender und Entwickler, aber es ginge auch ohne teure Identifizierung bei Verisign und Co?!?!

Also könnte jeder Entwickler sein komplett selbst erstelltes Zertifikat bereitstellen und dann damit seine Software signieren und es würde auch unter Vista x64 funktionieren, wenn der Benutzer vorher das Zertifikat einpflegt? Dann wäre das ja nur etwas mehr Aufwand für Anwender und Entwickler, aber es ginge auch ohne teure Identifizierung bei Verisign und Co?!?!

Klar. Afaik musst du dazu allerdings einen eigenen Zertifikatsserver in der Domäne betreiben, aber auch das ist ja kein Hindernis. Wenn du partout einem unbekannten Zertifikat vertrauen willst, wird MS es dir zwar schwer machen, aber im Endeffekt nicht aufhalten. Und genau so soll es ja auch sein.

Darum gehts also: DRM

3DCenter Startseite?
"Wie unter anderem Golem berichtet, hat Microsoft bei Verisign dafür gesorgt, daß die Signierung für einen Windows-Vista-Treiber der Linchpin Labs widerrufen wurde. Der Hintergrund hierzu ist, daß der "Atsiv-Loadery" selber nur dazu da ist, andere unsignierte Treiber laden zu können und damit das für Windows Vista 64-Bit seitens Microsoft ausgedachte Sicherheitskonzept aushebelt, wonach unter der 64bittigen Variante des neuen Betriebssystems ausschließlich nur signierte Treiber geladen werden können. Was natürlich umgehend eine größere Diskussion ausgelöst hat, inwiefern Microsoft hiermit dem Nutzer das Recht nimmt, auf seinem Betriebssystem das zu laden, was ihm gefällt - nicht hilfreich für Microsoft ist hier durchaus auch die offizielle Aussage, daß man diese Sicherheitsmaßnahme konsequent dazu nutzen will, um das Vista-eigene DRM-System zu schützen."

Ein Heil auf Windows DRM äh Vista!

Man kann die Überprüfung des Zertifikats doch soweit ich weiß sowieso deaktivieren.

Und nein es geht bei Treibern sicher nicht um DRM, denn an denen hat Microsoft sowieso keine Rechte.

Darum gehts also: DRM

3DCenter Startseite?
"Wie unter anderem Golem berichtet, hat Microsoft bei Verisign dafür gesorgt, daß die Signierung für einen Windows-Vista-Treiber der Linchpin Labs widerrufen wurde. Der Hintergrund hierzu ist, daß der "Atsiv-Loadery" selber nur dazu da ist, andere unsignierte Treiber laden zu können und damit das für Windows Vista 64-Bit seitens Microsoft ausgedachte Sicherheitskonzept aushebelt, wonach unter der 64bittigen Variante des neuen Betriebssystems ausschließlich nur signierte Treiber geladen werden können. Was natürlich umgehend eine größere Diskussion ausgelöst hat, inwiefern Microsoft hiermit dem Nutzer das Recht nimmt, auf seinem Betriebssystem das zu laden, was ihm gefällt - nicht hilfreich für Microsoft ist hier durchaus auch die offizielle Aussage, daß man diese Sicherheitsmaßnahme konsequent dazu nutzen will, um das Vista-eigene DRM-System zu schützen."

Ein Heil auf Windows DRM äh Vista!

genau so sollte es sein.
Eine Sicherheitsrichtlinie ist da um eingehalten zu werden.

Man kann die Überprüfung des Zertifikats doch soweit ich weiß sowieso deaktivieren.

Und nein es geht bei Treibern sicher nicht um DRM, denn an denen hat Microsoft sowieso keine Rechte.
Bei neuen Performance und Reliability Patches geht das wohl nicht mehr.

Geht was nicht mehr?

Geht was nicht mehr?
Das dauerhafte verwenden von unsignierten Kerneltreibern unter Vista x64, wie im Sticky im Windows-Board beschrieben.

Richtig:

Nach Installation der Patches hilft nur noch die F8 Methode bei JEDEM Booten, um unsignierte Treiber zu laden.

bcdedit -set loadoptions \”DDISABLE_INTEGRITY_CHECKS”

funktioniert danach definitiv nicht mehr!!