Microsoft erzwingt Extra-Signatur für Vista-Treiber

silicon.de,

Um Betriebsysteme und Server besser gegen so genannte Rootkits zu schützen, will Microsoft künftig nicht zertifizierte Treiber abblocken.

Um Betriebsysteme und Server besser gegen so genannte Rootkits zu schützen, will Microsoft künftig nicht zertifizierte Treiber auf den Versionen für x64-Systeme von Vista, dem Windows XP-Nachfolger, und dem Longhorn Server abblocken.

Damit Windows die Installation einer Treiberdatei zulässt, etwa für ein Peripheriegerät, muss das ‘Publisher Identity Certificate’ (PIC), eine digitale Signatur, vorhanden sein. Damit will Microsoft Schadprogramme aber auch unzertifizierte Treiber verhindern, die auf Kernel-Ebene über das API (Application Programming Interface) des Betriebssystems die Datenstruktur auf dem angegriffenen Rechner manipulieren. So kann das Programm unentdeckt auf dem Rechner bleiben. Meist werden solche Techniken benutzt, um die Systeme der Nutzer auszuspionieren.
 
“Indem wir für jede Software, die im Kernel-Modus von Vista auf x64-basierten Comuptersystemen läuft, eine digitale Signatur erzwingen, weiß der Nutzer oder Administrator, ob ein legitimierter Hersteller die Software veröffentlicht hat”, teilte eine Unternehmenssprecherin mit. So wolle Microsoft die Wirkung von bösartiger Kernel-Software verringern. Diese neue Strategie sei Teil des Security Developement Lifecycle (SDL). Das ist ein Regelwerk, an das sich die Entwickler von Microsoft-Produkten halten müssen. Vor allem dann, wenn diese Produkte mit dem Internet in Berührung kommen.

Für die Nutzer hat diese neue Strategie verschiedene Auswirkungen. So kann ein Anwender ein Gerät auf einem x64-System nur noch mit Administratorrechten installieren. Das heißt aber auch, dass Komponenten, die zum Beispiel Inhalte mit Kopierschutz verarbeiten, mit dieser digitalen Signatur versehen sein müssen. Ein Beispiel sind Audio-Treiber, die PUMA (Protected User Mode Audio) oder PAP (Protected Audio Path) verwenden.

Zudem müssen in die Treiberdateien die PIC-Signaturen eingebettet werden, andernfalls verhindert Vista oder Longhorn den Betrieb. Microsoft benennt noch einen Vorteil: Über die Signaturen sollen sich Systemabstürze besser analysieren lassen. Denn die Signatur meldet auch, welcher Treiber zur Zeit des Absturzes aktiv war. Die Software- und Gerätehersteller können dann anhand dieser Informationen die Fehler schneller beheben.