一部のWindows実行可能ファイルに「デジタル署名」タブがないのはなぜですか?
Windows 7システムの一部の実行可能ファイルに「デジタル署名」タブがないのはなぜですか?
(この質問では、Windows OSの一部ではなく、インストールパッケージがスタートメニューにショートカットを作成する実行可能ファイルを指します。)
理由は:
- .exeファイルは、実際にはある種のラッパーです。 Java JarまたはFlash SWFファイル?
- メーカーが.exeをデジタル認証したことはありませんか?
- 他の理由は?
理由が#2(バイナリがCAによって認証されたことがない)である場合、ソフトウェアをインストールするときに何らかの警告メッセージが表示されると思ったので、私は尋ねています。
更新:以下のスクリーンショットは、私のマシン上の2つの実行可能ファイルを示しています。それらの1つ(「iClone.exe」)の場合、Windowsは[デジタル署名]タブを表示しません。もう1つはタブが表示されます。
実行可能ファイルは、Microsoftによる署名が必要ではありません。ただし、ドライバーはそうです。
64ビットバージョンのWindows Vista以降のバージョンのWindows以降、ドライバーコード署名ポリシーでは、すべてのドライバーコードにデジタル署名が必要です。さらに、32ビットバージョンのWindows Vista以降のバージョンのWindowsの特定の構成では、コンテンツ保護ポリシーによって制御される次世代のプレミアムコンテンツにアクセスするために、ドライバーコードをデジタル署名する必要があります。 Windows Vista以降のバージョンのWindowsは、これらのコンポーネントのデジタル署名に依存して、Microsoft Windowsプラットフォームの安全性と安定性を高め、次世代のプレミアムコンテンツで新しい顧客体験を実現しています。
参照: https://msdn.Microsoft.com/en-us/library/windows/hardware/ff548231(v = vs.85).aspx
- メーカーが.exeをデジタル認証したことはありませんか?
はい。これは費用がかかり、導入ワークフローの追加の労力を意味します。
理由が#2(バイナリがCAによって認証されたことがない)である場合、ソフトウェアをインストールするときに何らかの警告メッセージが表示されると思ったので、私は尋ねています。
いいえ。「AppLocker」を使用して同様のものを構成できます(条件「Any Publisher」を使用した publisher allow-ruleを使用して推測 )。ただし、Windows OSでデフォルトでアクティブになるそのようなメカニズムはありません。私は知っています。
Microsoftの実行可能ファイルでこれが見つかった場合、その理由はWindowsエクスプローラーの実装です。Windowsエクスプローラーは、署名が実行可能ファイル自体にある場合にのみデジタル署名を表示します(例:signtoolで署名)。 Windowsデジタル署名カタログ(C:\Windows\System32\catroot\)に保存されているデジタル署名は表示されません(例:makecatで生成)。
デジタル署名カタログのエントリを含む実行可能ファイルの署名をチェックするには、 SysInternals SigCheck を使用します。また、-iコマンドラインスイッチを使用して実行したときに、どこで署名が見つかったかもわかります。
C:\>sigcheck.exe -i c:\Windows\System32\cmd.exe
Sigcheck v2.1 - File version and signature viewer
Copyright (C) 2004-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
c:\windows\system32\cmd.exe:
Verified: Signed
Catalog: C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Client-Features-Package-AutoMerged-base~31bf3856ad364e35~AMD64~~10.0.10586.0.cat
[...]