Schutz vor schadsoftwarediensten

Windows 8.1 wurde ein neues Konzept geschützter Dienste eingeführt, um antischadsoftwaredienste zu schützen, die häufig durch Schadsoftware angegriffen werden.

Erfahren Sie mehr über den Schutz von Antischadsoftware-Benutzermodus-Diensten und darüber, wie Sie dieses Feature in ihren Antimalwaredienst einschließen können.

Diese Informationen gelten für die folgenden Betriebssysteme und deren Nachfolger:

  • Windows 8.1
  • Windows Server 2012 R2

Die hier erläuterten Verweise und Ressourcen werden am Ende dieses Themas aufgelistet.

Einführung

Die meisten antischadsoftwarelösungen beinhalten einen Benutzermodusdienst, der spezielle Vorgänge zum erkennen und Entfernen von Schadsoftware aus dem System ausführt. Dieser Benutzermodusdienst ist auch häufig für das Herunterladen der neuesten Virendefinitionen und Signaturen verantwortlich. Dieser Benutzermodusdienst wird zu einem häufigen Ziel von Schadsoftware, da es sich um die Single Point of Failure, den Schutz auf einem System zu deaktivieren. Um Angriffe auf den Benutzermodusdienst zu verteidigen, müssen antischadsoftwarehersteller Ihrer Software viele Funktionen und Heuristik hinzufügen. Diese Techniken sind jedoch nicht vollständig schwerwiegend und sind tendenziell fehleranfällig, da Sie Funktionen identifizieren müssen, die Windows in Ihrem Dienst ausführt, und diese Funktionen selektiv aktivieren.

In Windows 8.1 wurde ein neues Konzept des geschützten Diensts eingeführt, mit dem Antischadsoftware-benutzermodusdienste als geschützter Dienst gestartet werden können. Nachdem der Dienst als geschützt gestartet wurde, verwendet Windows die Code Integrität, um nur vertrauenswürdigen Code zum Laden in den geschützten Dienst zuzulassen. Windows schützt diese Prozesse auch vor Code Einschleusung und anderen Angriffen von Administrator Prozessen.

In diesem Dokument wird beschrieben, wie ein antischadsoftwarehersteller mit einem Early Launch Anti-Malware-Treiber (Elam) dieses Feature abonnieren und den antischadsoftwaredienst als geschützten Dienst starten kann.

System geschützter Prozess

Ab Windows 8.1 wurde ein neues Sicherheitsmodell in den Kernel eingefügt, um gegen schädliche Angriffe auf systemkritische Komponenten besser zu schützen. Dieses neue Sicherheitsmodell erweitert die geschützte Prozess Infrastruktur früherer Windows-Versionen, die für bestimmte Szenarien verwendet werden, z. b. die Wiedergabe von DRM-Inhalten, in ein allgemeines Modell, das von Drittanbietern für Antischadsoftware verwendet werden kann. Die geschützte Prozess Infrastruktur ermöglicht nur das Laden von vertrauenswürdigem und signiertem Code und verfügt über eine integrierte Abwehr gegen Code einschleusungs Angriffe.

Weitere Informationen zu geschützten Prozessen finden Sie unter geschützte Prozesse in Windows Vista .

Das neue Sicherheitsmodell verwendet eine etwas andere Variante der Schutz Prozess Infrastruktur, die als System geschützter Prozess bezeichnet wird. Dies ist für dieses Feature besser geeignet, da der DRM-Inhalt dadurch getrennt bleibt. Jeder System geschützte Prozess verfügt über eine zugeordnete Ebene oder ein zugeordnetes Attribut, das die Signatur Richtlinie des signierten Codes angibt, der innerhalb des Prozesses geladen werden darf. Nachdem die antimalwaredienste den geschützten Dienst Modus gewählt haben, dürfen in diesem Prozess nur Windows-signierter Code oder Code, der mit den Zertifikaten des antischadsoftwareherstellers signiert ist, geladen werden. Ebenso haben andere geschützte Prozessebenen verschiedene Code Richtlinien, die von Windows erzwungen werden.

Anforderungen

Damit ein Antischadsoftware-Benutzermodusdienst als geschützter Dienst ausgeführt werden kann, muss auf dem Windows-Computer auf dem antischadsoftwarehersteller ein Elam-Treiber installiert sein. Zusätzlich zu den vorhandenen Zertifizierungsanforderungen des Elam-Treibers muss der Treiber über einen eingebetteten Ressourcenabschnitt verfügen, der die Informationen der Zertifikate enthält, die zum Signieren der Dienst Binärdateien im Benutzermodus verwendet werden.

Wichtig

In Windows 8.1 muss die Zertifizierungs Kette entweder ein bekannter Stamm sein, der von der Treiber Überprüfung bestimmt wird, oder das Stamm Zertifikat muss eingeschlossen werden.

Während des Startvorgangs wird dieser Ressourcenabschnitt aus dem Elam-Treiber extrahiert, um die Zertifikat Informationen zu überprüfen und den antischadsoftwaredienst zu registrieren. Der antischadsoftwaredienst kann auch während der Antimalware-Installation registriert werden, indem eine spezielle API aufgerufen wird, wie weiter unten in diesem Dokument beschrieben.

Nachdem der Ressourcenabschnitt erfolgreich vom Elam-Treiber extrahiert und der Benutzermodusdienst registriert wurde, kann der Dienst als geschützter Dienst gestartet werden. Nachdem der Dienst als geschützt gestartet wurde, sind andere nicht geschützte Prozesse im System nicht in der Lage, Threads einzufügen, und Sie dürfen nicht in den virtuellen Arbeitsspeicher des geschützten Prozesses schreiben.

Außerdem müssen alle nicht-Windows-DLLs, die in den geschützten Prozess geladen werden, mit einem entsprechenden Zertifikat signiert werden.

Weitere Informationen zu Elam-Treibern finden Sie unter Antischadsoftware-Frühstart .

Signatur Anforderungen des antischadsoftwarediensts

Der Benutzermodusdienst, der als geschützt gestartet werden muss, muss mit gültigen Zertifikaten signiert sein. Die Dienst-exe muss mit einem Seiten Hash signiert werden, und alle nicht-Windows-DLLs, die in den Dienst geladen werden, müssen ebenfalls mit denselben Zertifikaten signiert werden. Der Hash dieser Zertifikate muss der Ressourcen Datei hinzugefügt werden, die mit dem Elam-Treiber verknüpft wird.

Hinweis

SHA256-Datei-/Seitenhashes müssen verwendet werden, auch wenn Zertifikate weiterhin SHA1 aufweisen können.

Es wird empfohlen, dass antischadsoftwarehersteller Ihr vorhandenes Authenticode-Zertifikat verwenden, um Ihre Antischadsoftware-Dienst Binärdateien zu signieren, und dass der Hashwert dieses Authenticode-Zertifikats im Ressourcenabschnitt enthalten ist, um das Zertifikat anzugeben, das zum Signieren der Dienst Binärdateien verwendet wird. Wenn Sie dieses Zertifikat aktualisieren, muss eine neuere Version des Elam-Treibers mit den aktualisierten zertifikathashes veröffentlicht werden.

Sekundäre Signatur (optional)

Antischadsoftwareanbieter haben die Möglichkeit, eine private Zertifizierungsstelle einzurichten und Zertifikate dieser Zertifizierungsstelle zu verwenden, um die Binärdateien des antischadsoftwarediensts als sekundäre Signatur zu signieren. Der Hauptvorteil bei der Verwendung der privaten Zertifizierungsstelle besteht darin, dass es Anbietern ermöglicht, Zertifikate mit einer spezialisierten EKU-Eigenschaft zu erstellen, die zur Unterscheidung zwischen mehreren Produkten desselben Herstellers verwendet werden kann. Außerdem entfällt die Notwendigkeit, den Elam-Treiber aufgrund eines Zertifikats Ablaufs zu aktualisieren, da die Zertifikate der privaten Zertifizierungsstelle in der Regel über längere Ablaufzeiten verfügen.

Beachten Sie Folgendes: Wenn die Dienst Binärdateien mit den privaten Zertifizierungsstellen Zertifikaten signiert sind, müssen die Binärdateien auch Dual mit den vorhandenen Authenticode-Zertifikaten signiert sein. Wenn die Binärdateien nicht von einer bekannten vertrauenswürdigen Zertifizierungsstelle (z. b. VeriSign) signiert werden, ist der Benutzer des Computers in den Binärdateien nicht vertrauenswürdig, da Sie der privaten Zertifizierungsstelle nicht vertrauen können. Beim dualen Signieren der Binärdateien mit dem vorhandenen Authenticode-Zertifikat können die Binärdateien auch auf untergeordneten Betriebssystemen ausgeführt werden.

Weitere Informationen zum Einrichten und Installieren der Zertifizierungsstelle finden Sie unter Einrichten einer Zertifizierungsstelle und Installieren der ZertifizierungsStelle.

Hinweis

Aus Kompatibilitätsgründen mit Windows Vista oder Windows XP (oder Windows 7 ohne den SHA2-Patch) können Sie den Schalter "/as" verwenden, wenn Sie die Binärdateien mit SignTool.exe mit den SHA256-Datei-/Seitenhashes signieren. Dadurch wird die Signatur der Datei als sekundäre Signatur hinzugefügt. SHA1 Signieren Sie die Datei zuerst, da Windows XP, Windows Vista und Windows 7 nur die erste Signatur sehen.

DLL-Signierungs Anforderungen

Wie bereits erwähnt, müssen alle nicht-Windows-DLLs, die in den geschützten Dienst geladen werden, mit demselben Zertifikat signiert werden, das zum Signieren des antischadsoftwarediensts verwendet wurde.

Katalog Signierung

Antischadsoftwarehersteller können von anderen Unternehmen entwickelte Pakete einschließen, ohne die binären Signaturen zu aktualisieren. Dies kann erreicht werden, indem die Binärdateien in einen Katalog eingeschlossen werden, der mit Ihrem Authenticode-Zertifikat signiert ist, indem die folgenden Schritte ausgeführt werden:

  1. Generieren eines Katalogs mit MakeCat
  2. Fügen Sie alle Binärdateien ohne entsprechende Signatur zum Katalog hinzu.
  3. Signieren Sie den Katalog wie jede andere Binärdatei mit dem Authenticode-Zertifikat.
  4. Verwenden Sie die Add Catalog -Funktion, um den Katalog mit der Anwendung einzubeziehen.

Wenn die Code Integrität über die Pakete ohne entsprechende Signatur hinausgeht, sucht Sie nach einem Katalog mit einer genehmigten Signatur. Dieser Katalog findet so lange, wie diese Schritte befolgt werden und mit der Anwendung installiert wird.

Ressourcen Dateiinformationen

Eine Ressourcen Datei muss erstellt und mit dem Elam-Treiber verknüpft werden. Der Hash des Zertifikats muss zusammen mit anderen Zertifikat Informationen in der Ressourcen Datei hinzugefügt werden.

Der Ressourcenabschnitt muss sich im folgenden Layout befinden, damit das System die Ressourcen aus dem Binär Image extrahieren und die eingebetteten Zertifikat Informationen überprüfen können.

MicrosoftElamCertificateInfo  MSElamCertInfoID
{
      3, // count of entries
      L”CertHash1\0”,
      Algorithm,
      L”EKU1\0”,
      L”CertHash2\0”,
      Algorithm,
      L”\0”, //No EKU for cert hash 2
      L”CertHash3\0”,
      Algorithm,
      L”EKU3a;EKU3b;EKU3c\0”,  //multiple EKU entries supported (max: 3)
}

Weitere Informationen zur benutzerdefinierten Ressourcen Datei finden Sie unter benutzerdefinierte Ressource.

CertHash

Der Hash des Zertifikats, das verwendet wird, um den antischadsoftwaredienst zu signieren. Das CertMgr.exe Tool, das im Windows SDK enthalten ist, kann zum Abrufen des Hashs verwendet werden.

certmgr.exe –v <path to the signed file>

Beispiel:

Zertifikat Hash für geschützten Dienst von Antischadsoftware (CertHash)

Algorithmus

Der Algorithmuswert stellt den Algorithmus des Zertifikats dar. Diese algorithmuswerte werden unterstützt:

0x8004 – SHA1 0x800c – SHA256 0x800d – SHA384 0x800e – SHA512

Denken Sie daran, den Wert des Algorithmus (wie oben dargestellt) und nicht den tatsächlichen Namen des Algorithmus einzubeziehen. Wenn das Zertifikat beispielsweise auf dem SHA256-Algorithmus basiert, schließen Sie 0x800c in den Ressourcenabschnitt ein.

EKU

Das EKU-Objekt stellt eine einzelne EKU (Extended Key Usage)-Eigenschaft eines Zertifikats dar. Dies ist optional, und " \ 0" sollte angegeben werden, wenn dem Zertifikat keine EKUs zugeordnet sind. In einem Fall, in dem mehrere Produkte und Dienste von einem einzelnen antischadsoftwarehersteller auf demselben System ausgeführt werden, kann der antischadsoftwarehersteller die EKU-Eigenschaft des privaten Zertifizierungsstellen Zertifikats verwenden, um einen Dienst von einem anderen zu unterscheiden. Wenn beispielsweise zwei Dienste auf dem System vom gleichen antischadsoftwarehersteller ausgeführt werden und von derselben Zertifizierungsstelle signiert werden, kann der Dienst, der als geschützt gestartet werden muss, mit einem Zertifikat signiert werden, das von der Zertifizierungsstelle ausgestellt wurde, die eine Sonder-EKU enthält. Diese EKU muss dem Ressourcenabschnitt hinzugefügt werden. Die EKU wird dann vom System registriert und mit dem Zertifikat Hash gekoppelt, um den Dienst als geschützt zu validieren und zu starten.

Beachten Sie, dass die Zertifikatskette das Code Signatur-EKU (1.3.6.1.5.5.7.3.3) enthalten muss. diese EKU darf jedoch nicht im Ressourcenabschnitt des Elam-Treibers enthalten sein.

Hinweis

Wenn die EKU-Informationen in den Zertifikat Informationen des Elam-Treibers enthalten sind, muss beim Signieren der Binärdateien dieselbe EKU verwendet werden.

Anzahl

Wenn die Binärdatei des Antischadsoftware-Diensts mit dem Authenticode-Zertifikat und dem privaten Zertifizierungsstellen Zertifikat signiert ist, müssen im Ressourcenabschnitt nur die Informationen der privaten Zertifizierungsstellen Zertifikate hinzugefügt werden.

Antischadsoftwaredienste werden als geschützt gestartet

Registrieren des Diensts

Der antischadsoftwaredienst muss beim System registriert werden, bevor er als geschützt gestartet werden kann. Während der Installation der Antimalwaresoftware kann das Installationsprogramm den Elam-Treiber installieren und das System neu starten, damit der Dienst automatisch registriert wird. Das System registriert den Dienst bei der Startzeit durch Extrahieren der Zertifikat Informationen aus der oben genannten Ressourcen Datei, die mit dem Elam-Treiber verknüpft ist.

Während der Installationsphase wird dringend empfohlen, das System neu zu starten, damit der Elam-Treiber geladen wird und den Status des Systems überprüft. In Fällen, in denen ein Neustart vermieden werden muss, stellt Windows jedoch auch einen Mechanismus bereit, mit dem der antimalwareinstaller den Dienst mithilfe einer API als geschützt registrieren kann.

Registrieren des Dienstanbieter, ohne das System neu zu starten

Während der Installation kann ein antischadsoftwareinstallations-Installer die installelamcertifieupeinfo -API anrufen und ein Handle für die Elam-Treiberdatei bereitstellen. Das System öffnet den Elam-Treiber, ruft interne Routinen auf, um sicherzustellen, dass der Elam-Treiber ordnungsgemäß signiert ist, und extrahiert die Zertifikat Informationen aus dem Ressourcenabschnitt, der dem Elam-Treiber zugeordnet ist. Informationen zur Funktions Syntax finden Sie unter installelamcertifiereinfo.

Codebeispiel:

HANDLE FileHandle = NULL;

FileHandle = CreateFile(<Insert Elam driver file name>,
                        FILE_READ_DATA,
                        FILE_SHARE_READ,
                        NULL,
                        OPEN_EXISTING,
                        FILE_ATTRIBUTE_NORMAL,
                        NULL
                        );

if (InstallElamCertificateInfo(FileHandle) == FALSE)
{
    Result = GetLastError();
    goto exitFunc;
}

Starten des dienstanals geschützt

Das Installationsprogramm kann die folgenden Schritte ausführen, um den Dienst als geschützt zu erstellen, zu konfigurieren und zu starten:

  1. Rufen Sie die API "| ateservice " auf, um ein Dienst Objekt zu erstellen und es der Datenbank des Dienststeuerungs-Managers (SCM) hinzuzufügen.

  2. Aufrufen der SetServiceObjectSecurity -API, um die Sicherheits Beschreibung des in Schritt 1 erstellten Dienst Objekts festzulegen.

  3. Rufen Sie die ChangeServiceConfig2 -API auf, um den Dienst als geschützt zu markieren, und geben Sie dabei den neuen Wert für den neuen Dienst _ Konfigurations Start als _ _ geschützten Enumerationswert an, der in winsvc. h (ab Windows 8.1)

    Codebeispiel:

    SERVICE_LAUNCH_PROTECTED_INFO Info;
    SC_HANDLE hService;
    
    Info.dwLaunchProtected = SERVICE_LAUNCH_PROTECTED_ANTIMALWARE_LIGHT;
    
    hService = CreateService (/* ... */);
    
    if (ChangeServiceConfig2(hService,
                             SERVICE_CONFIG_LAUNCH_PROTECTED,
                             &Info) == FALSE)
    {
        Result = GetLastError();
    }
    
  4. Aufrufen der StartService -API, um den Dienst zu starten. Wenn der Dienst als geschützt gestartet wird, prüft SCM das CI-Subsystem (Code Integrity), um die Zertifikat Informationen zu validieren. Nachdem die Zertifikat Informationen von CI überprüft wurden, wird der Dienst vom SCM als geschützt gestartet.

    1. Beachten Sie, dass dieser Schritt fehlschlägt, wenn Sie den Dienst nicht durch Aufrufen der installelamcertifiprieinfo -API registriert haben.
    2. Wenn der Dienst während der Systemstartphase für den automatischen Start konfiguriert wurde, können Sie diesen Schritt vermeiden und einfach das System neu starten. Während eines Neustarts registriert das System den Dienst automatisch (wenn der Elam-Treiber erfolgreich gestartet wurde) und startet den Dienst im geschützten Modus.

Starten eines untergeordneten Prozesses als geschützt

Das neue Sicherheitsmodell ermöglicht es den antimalwaregeschützten Diensten auch, untergeordnete Prozesse als geschützt zu starten. Diese untergeordneten Prozesse werden auf derselben Schutz Ebene wie der übergeordnete Dienst ausgeführt, und Ihre Binärdateien müssen mit demselben Zertifikat signiert werden, das über den Elam-Ressourcenabschnitt registriert wurde.

Um den Schutz durch Antischadsoftware zuzulassen, um den untergeordneten Prozess als geschützt zu starten, wurde ein neuer erweiterter Attribut Schlüssel ( proc _ Thread _ Attribute _ Protection _ Level) verfügbar gemacht, der mit der updateprocthreadattribute -API verwendet werden muss. Ein Zeiger auf den Attribut Wert der _ _ gleichen Schutz Ebene muss an die updateprocthreadattribute -API übermittelt werden.

Hinweise:

  • Damit dieses neue Attribut verwendet werden kann, muss der Dienst auch Create _ protected _ Process im Parameter Prozesserstellungsflags des Aufrufens "up" angeben.
  • Sie müssen Ihre Dienst Binärdateien mithilfe des/AC-Schalters signiert haben, um das Zertifikat zu integrieren, um es zu einer bekannten Zertifizierungsstelle zu verketten. Selbst signiertes Zertifikat ohne ordnungsgemäße Verkettung für eine bekannte Stamm Zertifizierungsstelle funktioniert nicht.

Codebeispiel:

DWORD ProtectionLevel = PROTECTION_LEVEL_SAME;
SIZE_T AttributeListSize;

STARTUPINFOEXW StartupInfoEx = { 0 };

StartupInfoEx.StartupInfo.cb = sizeof(StartupInfoEx);

if (InitializeProcThreadAttributeList(NULL,
                                      1,
                                      0,
                                      &AttributeListSize) == FALSE)
{
    Result = GetLastError();
    goto exitFunc;
}

StartupInfoEx.lpAttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST) HeapAlloc(
    GetProcessHeap(),
    0,
    AttributeListSize
    );

if (InitializeProcThreadAttributeList(StartupInfoEx.lpAttributeList,
                                      1,
                                      0,
                                      &AttributeListSize) == FALSE)
{
    Result = GetLastError();
    goto exitFunc;
}

if (UpdateProcThreadAttribute(StartupInfoEx.lpAttributeList,
                              0,
                              PROC_THREAD_ATTRIBUTE_PROTECTION_LEVEL,
                              &ProtectionLevel,
                              sizeof(ProtectionLevel),
                              NULL,
                              NULL) == FALSE)
{
    Result = GetLastError();
    goto exitFunc;
}

PROCESS_INFORMATION ProcessInformation = { 0 };

if (CreateProcessW(ApplicationName,
                   CommandLine,
                   ProcessAttributes,
                   ThreadAttributes,
                   InheritHandles,
                   EXTENDED_STARTUPINFO_PRESENT | CREATE_PROTECTED_PROCESS,
                   Environment,
                   CurrentDirectory,
                   (LPSTARTUPINFOW)&StartupInfoEx,
                   &ProcessInformation) == FALSE)
{
    Result = GetLastError();
    goto exitFunc;
}

Updates und Wartung

Nachdem der antischadsoftwaredienst als geschützt gestartet wurde, können andere nicht geschützte Prozesse (und sogar Administratoren) den Dienst nicht mehr unterbinden. Bei Aktualisierungen der Dienst Binärdateien muss der antischadsoftwaredienst einen Rückruf vom Installationsprogramm empfangen, um sich selbst zu unterbinden, damit er gewartet werden kann. Nachdem der Dienst beendet wurde, kann der antimalwareinstaller Upgrades ausführen und dann die oben beschriebenen Schritte in den Abschnitten Registrieren des Diensts und Starten des Diensts als geschützt ausführen, um das Zertifikat zu registrieren und den Dienst als geschützt zu starten.

Beachten Sie, dass der Dienst sicherstellen muss, dass nur vertrauenswürdige Aufrufer den Dienst abbrechen können. Wenn dies nicht vertrauenswürdige Aufrufer zulässt, wird der Zweck des Schutzes des dienstanzdienstanbieter

Aufheben der Registrierung des Dienstanbieter

Wenn Sie einen geschützten Dienst deinstallieren, muss sich der Dienst durch Aufrufen der ChangeServiceConfig2 -API als ungeschützt kennzeichnen. Beachten Sie, dass der ChangeServiceConfig2 -Aufrufe durch den geschützten Dienst selbst erfolgen muss, da das System keinen nicht geschützten Prozess zum Ändern der Konfiguration eines geschützten dienstanlässt. Nachdem der Dienst für die Ausführung als ungeschützt konfiguriert wurde, kann das Deinstallationsprogramm einfach die entsprechenden Schritte ausführen, um die Antischadsoftware aus dem System zu entfernen.

Debuggen eines geschützten Antimalwarediensts

Im Rahmen des Sicherheitsmodells für den geschützten Prozess können andere nicht geschützte Prozesse keine Threads einfügen oder in den virtuellen Speicher des geschützten Prozesses schreiben. Ein Kernel Debugger (KD) ist jedoch für das Debuggen von geschützten antischadsoftwareprozessen zulässig. Der KD kann auch verwendet werden, um zu überprüfen, ob der antischadsoftwaredienst als geschützt ausgeführt wird oder nicht:

dt –r1 nt!_EPROCESS <Process Address>
+0x67a Protection       : _PS_PROTECTION
      +0x000 Level            : 0x31 '1'
      +0x000 Type             : 0y0001
      +0x000 Signer           : 0y0011

Wenn der Wert des Typmembers 0y0001 ist, wird der Dienst als geschützt ausgeführt.

Außerdem sind nur die folgenden SC-Befehle für den antischadsoftwaregeschützten Dienst zulässig:

  • sc config start=Auto
  • sc qc
  • sc start
  • sc interrogate
  • sc sdshow

Wenn der Debugger angefügt ist, verwenden Sie das folgende Flag in der Registrierung, um den Debugger zu unterbrechen, wenn unsignierte Binärdateien (oder nicht signierte) in den geschützten Dienst für Antischadsoftware geladen werden.

Key:   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI
Value: DebugFlags      REG_DWORD

Legen Sie den Wert auf 00000400 fest, um im Debugger zu unterbrechen, wenn die Signatur Validierung fehlschlägt.

Hinweis

Einschränkungen für den geschützten Prozess:

  1. Prozesse, die über eine Benutzeroberfläche oder eine GUI verfügen, können nicht geschützt werden, weil der Kernel einen Prozess im Arbeitsspeicher sperrt und keine Schreibvorgänge zulässt.
  2. Vor Windows 10, Version 1703 (Creators Update), können geschützte Prozesse die TLS-oder SSL-Kommunikationsprotokolle aufgrund von Einschränkungen bei der Freigabe von Zertifikaten zwischen der lokalen Sicherheits Autorität (Local Security Authority, LSA) und einem geschützten Prozess nicht verwenden.

Ressourcen

Weitere Informationen:

Auf diese Windows-API-Funktionen wird in diesem Artikel verwiesen: