9
Sicherheitsfeatures, die eh niemand nutzt
Servus Kollegen,
nutzt jemand von Euch das Win10/11 Sicherheitsfeature "Memory Integrity"? Wie sind eure Erfahrungen damit?
Bin da gerade über Folgendes gestolpert, als ich das Feature unter Win10 21H2 auf meinem neuen PC anschalten wollte.
Es ist inkompatibel mit dem Treiber des Gemalto-SmartCardreaders, welcher selber natürlich kein Allerweltsgerät ist, aber in gesicherten Umgebungen häufiger anzutreffen ist. Es ist der neueste Treiber (Herstellerinfos, dass ein 4.1.3.3 existiert, stimmen nicht, hinter der 4.1.3.3-Datei verbirgt sich der 4.1.3.2, aber das ist hier nebensächlich)
Ok, also scheint niemand beide Techniken zusammen zu nutzen - interessant.
Aber nun kommt's: auch bei der Nutzung von virtuellen SmartCards ("TPMVSC", siehe mein Tipp Tipp zur Nutzung von Zweitaccounts unter Windows ) kommt es nach der Aktivierung des Features (ja, vorher natürlich den Gemaltoreader deinstallieren) zu Fehlern: die virtuellen SmartCards funktionieren nicht mehr. Eventlog:
Wow, ich bin echt angetan. Die im Logtext genannte DLL ist natürlich von Microsoft selbst.
Wer verwendet das denn bei Euch, Microsoft - niemand?
Edit/PS: gerade noch einmal gegengetestet auf einer VM mit Server 2022 - hier funktioniert die TPMVSC.
Edit2: es geht auch auf Server 2022 nicht, sobald LSA Protection zusätzlich aktiviert wird!
nutzt jemand von Euch das Win10/11 Sicherheitsfeature "Memory Integrity"? Wie sind eure Erfahrungen damit?
Bin da gerade über Folgendes gestolpert, als ich das Feature unter Win10 21H2 auf meinem neuen PC anschalten wollte.
Ok, also scheint niemand beide Techniken zusammen zu nutzen - interessant.
Aber nun kommt's: auch bei der Nutzung von virtuellen SmartCards ("TPMVSC", siehe mein Tipp Tipp zur Nutzung von Zweitaccounts unter Windows ) kommt es nach der Aktivierung des Features (ja, vorher natürlich den Gemaltoreader deinstallieren) zu Fehlern: die virtuellen SmartCards funktionieren nicht mehr. Eventlog:
Wow, ich bin echt angetan. Die im Logtext genannte DLL ist natürlich von Microsoft selbst.
Wer verwendet das denn bei Euch, Microsoft - niemand?
Edit/PS: gerade noch einmal gegengetestet auf einer VM mit Server 2022 - hier funktioniert die TPMVSC.
Edit2: es geht auch auf Server 2022 nicht, sobald LSA Protection zusätzlich aktiviert wird!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2281523312
Url: https://administrator.de/contentid/2281523312
Printed on: May 4, 2024 at 14:05 o'clock
9 Comments
Latest comment
Zitat von @DerWoWusste:
. Es ist der neueste Treiber (Herstellerinfos, dass ein 4.1.3.3 existiert, stimmen nicht, hinter der 4.1.3.3-Datei verbirgt sich der 4.1.3.2, aber das ist hier nebensächlich)
. Es ist der neueste Treiber (Herstellerinfos, dass ein 4.1.3.3 existiert, stimmen nicht, hinter der 4.1.3.3-Datei verbirgt sich der 4.1.3.2, aber das ist hier nebensächlich)
Das weißt du definitiv WOHER?
Du bist ja hier als kompetent bekannt, also weißt du auch, das die neuesten Treiber nicht zwingend öffentlich zugänglich sind ...
.
Ist es das echt wert, besprochen zu werden? Hier sollte es um Erfahrungen mit dem Feature gehen und ich habe das als nebensächlich gekennzeichnet, da ich ja weiß, dass hier Leute gerne in Details (ob wichtig oder nicht) einsteigen.
Aber gut, ich weiß vom Gemalto-/Thales-Support selbst, dass folgender der Letzte ist:
https://supportportal.gemalto.com/csm?sys_kb_id=29b9bdc437e7be80cc472619 ... ist der "4.1.3.3"-Treiber, kannst Du ja laden und entpacken und ins .inf schauen, da steht dann DriverVer=11/18/2015, 4.1.3.2
Aber gut, ich weiß vom Gemalto-/Thales-Support selbst, dass folgender der Letzte ist:
https://supportportal.gemalto.com/csm?sys_kb_id=29b9bdc437e7be80cc472619 ... ist der "4.1.3.3"-Treiber, kannst Du ja laden und entpacken und ins .inf schauen, da steht dann DriverVer=11/18/2015, 4.1.3.2
Ich habe nur deshalb nachgefragt, weil ich bei einer anderen Hardware mal ein ähnliches Problem hatte....
... das mit dem neuesten Treiber das System nicht lief.
... Ein älterer Treiber funktionierte problemlos.
Letztlich war das Problem die Inkompatibilität des aktuellsten Treibers mit der nicht aktuellsten Firmware der Hardware.
Also Firmware aktualisiert, danach Treiber aktualisiert = Alles OK.
.
... das mit dem neuesten Treiber das System nicht lief.
... Ein älterer Treiber funktionierte problemlos.
Letztlich war das Problem die Inkompatibilität des aktuellsten Treibers mit der nicht aktuellsten Firmware der Hardware.
Also Firmware aktualisiert, danach Treiber aktualisiert = Alles OK.
.
So, nun sehe ich bereits deutlich klarer, was hier vor sich geht in punkto TPMVSC.
Auf meinem PC ist nicht nur "Memory Integrity" aktiviert, sondern zusätzlich auch "Additional LSA Protection"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
"RunAsPPL"=dword:00000001
(siehe https://docs.microsoft.com/en-us/windows-server/security/credentials-pro ... )
Nur wenn beides zusammenspielt, kommt es zu dem Problem (und dann kommt es auch auf Server 2022 dazu)!
Das werde ich nun Microsoft melden.
Das andere Problem ist ja durch Gemaltos Treiber verursacht und ich hoffe, das von mir gemeldete Problem wird noch abgestellt.
Auf meinem PC ist nicht nur "Memory Integrity" aktiviert, sondern zusätzlich auch "Additional LSA Protection"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
"RunAsPPL"=dword:00000001
(siehe https://docs.microsoft.com/en-us/windows-server/security/credentials-pro ... )
Nur wenn beides zusammenspielt, kommt es zu dem Problem (und dann kommt es auch auf Server 2022 dazu)!
Das werde ich nun Microsoft melden.
Das andere Problem ist ja durch Gemaltos Treiber verursacht und ich hoffe, das von mir gemeldete Problem wird noch abgestellt.
Achtung MS rüstet diesbezüglich weiter auf 🤙
Microsoft Defender: Blockliste für anfällige Treiber soll zusätzlichen Schutz bieten
Microsoft Defender: Blockliste für anfällige Treiber soll zusätzlichen Schutz bieten
Ja, es wird nicht leichter, bei dem ganzen Gedöns noch den Überblick zu bewahren. Sicherheit sieht anders aus.
Joa, kein Wunder das die dabei langsam aber sicher auch den Überblick verlieren, wenn man sich die Update-Misere ansieht wird es da sicherlich auch nicht besser aussehen, der Kunde wird halt wieder Versuchskaninchen.
Es wird lustig...
Mittlerweile kann ich das TPMVSC-Problem nirgendwo mehr reproduzieren, überall geht es einfach.
Auf einem PC half "memory integrity" deaktivieren, neu starten, re-aktivieren, neustarten.
*schulterzuck* - nicht sehr vertrauenserweckend.
Thales' Support beeindruckt derweil durch Untätigkeit.
Mittlerweile kann ich das TPMVSC-Problem nirgendwo mehr reproduzieren, überall geht es einfach.
Auf einem PC half "memory integrity" deaktivieren, neu starten, re-aktivieren, neustarten.
*schulterzuck* - nicht sehr vertrauenserweckend.
Thales' Support beeindruckt derweil durch Untätigkeit.
Thales Support hat mittlerweile festgestellt, dass es von unserem SmartCard-Reader ID Brige CT700 eine neue Version gibt, die auch mit einem neueren Treiber arbeitet, der in der Tat dieses Problem nicht hat.
Falls es interessiert: das wäre die Hersteller-P/N 962-000027-004
Der Treiber ist dieser: https://supportportal.gemalto.com/csm/?id=kb_article_view&sys_kb_id= ...
Falls es interessiert: das wäre die Hersteller-P/N 962-000027-004
Der Treiber ist dieser: https://supportportal.gemalto.com/csm/?id=kb_article_view&sys_kb_id= ...
