DELL Zertifikate entfernen

Mitglied: Daniel1909

Daniel1909 (Level 1) - Jetzt verbinden

24.11.2015 um 14:58 Uhr, 2698 Aufrufe, 9 Kommentare, 1 Danke

Hallo zusammen,

ein Problem vor dem heute viele stehen sollten, ist das löschen des DELL Zertifikats aus den Stammzertikaten.
http://www.heise.de/newsticker/meldung/Dell-Rechner-mit-Hintertuer-zur- ...
Gibt es hierfür die Möglochkeit eine GPO anzulegen, die diesen Job übernimmt?

Viele Grüße Daniel
Mitglied: StefanKittel
24.11.2015 um 15:32 Uhr
Hallo,

soweit ich weiß ist das mit GPO nicht möglich.

Probier mal certmgr aus dem .net SDK.
certmgr /del /c -n "Name" /s /r localMachine root

Viele Grüße

Stefan
Bitte warten ..
Mitglied: VGem-e
24.11.2015 um 15:56 Uhr
Servus,

lt. http://business.chip.de/news/Mega-Luecke-in-Dell-PCs-Mit-diesem-Tool-sa ... stellte Dell inzwischen ein Removal-Tool bereit!

Gruß
VGem-e
Bitte warten ..
Mitglied: Winary
24.11.2015, aktualisiert um 16:56 Uhr
Hallo,

nimm das Zertifikat und verteile es durch eine GPO in den Speicher "Nicht vertrauenswürdige Zertifikate". Überall wo das Zertifikat bereits installiert ist wird es durch die GPO in den Speicher für nicht vertrauenswürdige Zertifikate "verschoben".

Computerkonfiguration -> Richtlinien -> Windows Einstellungen - Sicherheitseinstellungen -> Richtlinien öffentlicher Schlüssel -> Nicht vertrauenswürdige Zertifikate -> Dell-Zertifikat hier importieren

Oder du machst ein Startskript mit:

Ich weiß aber nicht wo das Zertifkat im Speicher liegt; hier ist es "Vertrauenswürdige Stammzertifizierungsstellen" im Kontext des Computers. Daher müsste eventuell der Pfad angepasst werden.


Edit: Ich habe bei Heise gerade gelesen, dass im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" im Kontext des aktuellen Benutzers liegt. Dann wäre der Befehl fürs Skript:


Edit 2: Seriennummer eingefügt :) face-smile

Grüße Winary
Bitte warten ..
Mitglied: novae7
24.11.2015, aktualisiert um 16:54 Uhr
Moin,

hier gibts die Seriennummer des Zertifikats+Test ob der PC betroffen ist:

https://zmap.io/dell/

Seriennummer: 6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6
-> zur Verwendung in Winarys Script ohne : 6bc57b951893aa974b624ac088fc3bb6
(danke für den Hinweis @Winary )

und in dem Reddit post gibt es auch nochmal das Zertifikat
https://www.reddit.com/r/technology/comments/3twmfv/dell_ships_laptops_w ...

das Braucht man um es über die GPO zu sperren (mega.nz download im Redditpost)

edit:
anbei noch der Link zu Dells Cert Remove Tool:
https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe

Grüße
Bitte warten ..
Mitglied: Winary
24.11.2015 um 16:30 Uhr
Als Ergänzung zur Antwort von @novae7: Wenn du wie oben beschrieben mit certutil das Zertifikat entfernen willst dürfen keine Doppelpunkte oder sonstige Sonderzeichen in der Seriennummer stehen. In dem Fall wäre sie: 6bc57b951893aa974b624ac088fc3bb6.

Grüße Winary
Bitte warten ..
Mitglied: novae7
24.11.2015 um 16:53 Uhr
Habs mit eingefügt, danke für den Hinweis!
Bitte warten ..
Mitglied: 122990
122990 (Level 2)
24.11.2015, aktualisiert um 19:12 Uhr
Zur Info:

Es ist noch ein gefährliches Root-Cert von Dell mit private Key aufgetaucht. Das es einem kinderleicht ermöglicht weitere gültige Zertifikate auszustellen
http://www.golem.de/news/https-verschluesselung-noch-ein-gefaehrliches- ...
Es wandert mit der Dell-Software DellSystemDetect DSD auf den Rechner.

Das Root-Zertifikat hat den folgenden Thumbprint: 02C2D931062D7B1DC2A5C7F5F0685064081FB221 und liegt im Machine-Root-Store.

Powershell-Remove als Admin:
Certutil
Gruß grexit
Bitte warten ..
Mitglied: Winary
24.11.2015 um 19:06 Uhr
Geht das auch mit dem Hash? Ich dachte das geht nur mit der Seriennummer. :) face-smile
Bitte warten ..
Mitglied: 122990
122990 (Level 2)
24.11.2015, aktualisiert um 19:16 Uhr
Genauer gesagt meinte ich den Thumbprint/Fingerabdruck des Certs, und ja das geht problemlos.
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 1 TagFrageLAN, WAN, Wireless42 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 1 TagFrageOff Topic20 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Microsoft
Datenkrake - Browser
DennisWeberVor 1 TagErfahrungsberichtMicrosoft14 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 1 TagFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 1 TagFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Microsoft
Meine Gruppenrichtlinie wird nicht angewendet oder ich bin zu dumm
gelöst RandonDudeVor 18 StundenFrageMicrosoft15 Kommentare

Hallo zusammen, ich bin Hobby-Admin für einen Versicherungsmakler. Wir haben ein Active Directory im Einsatz. Ich möchte verhindern, dass sich Benutzer an PCs anmelden, ...

Windows Server
Igel + Terminalserver + VoIP + Softphone
Asgard-LokiVor 19 StundenFrageWindows Server13 Kommentare

Gude Kolleginnen und Kollegen, ich habe da mal eine Frage zu einem Thema was für mich relativ neu ist. Wir wollen unsere Telefonie gerne ...

Weiterbildung
Das Impostersyndrom oder: "Was kann ich eigentlich?"
AnduinVor 21 StundenFrageWeiterbildung6 Kommentare

Werte Mitadmins, ich würde mich heute gerne mit einem mir wichtigen Thema an euch wenden. Ich bin 40 Jahre alt und seit 21 Jahren ...