Sicherheitsfeatures, die eh niemand nutzt

derwowusste
Goto Top
Servus Kollegen,

nutzt jemand von Euch das Win10/11 Sicherheitsfeature "Memory Integrity"? Wie sind eure Erfahrungen damit?

Bin da gerade über Folgendes gestolpert, als ich das Feature unter Win10 21H2 auf meinem neuen PC anschalten wollte.
capture
Es ist inkompatibel mit dem Treiber des Gemalto-SmartCardreaders, welcher selber natürlich kein Allerweltsgerät ist, aber in gesicherten Umgebungen häufiger anzutreffen ist. Es ist der neueste Treiber (Herstellerinfos, dass ein 4.1.3.3 existiert, stimmen nicht, hinter der 4.1.3.3-Datei verbirgt sich der 4.1.3.2, aber das ist hier nebensächlich)
Ok, also scheint niemand beide Techniken zusammen zu nutzen - interessant.

Aber nun kommt's: auch bei der Nutzung von virtuellen SmartCards ("TPMVSC", siehe mein Tipp https://administrator.de/tutorial/tipp-zur-nutzung-von-zweitaccounts-unt ... ) kommt es nach der Aktivierung des Features (ja, vorher natürlich den Gemaltoreader deinstallieren) zu Fehlern: die virtuellen SmartCards funktionieren nicht mehr. Eventlog:
capture2

Wow, ich bin echt angetan. Die im Logtext genannte DLL ist natürlich von Microsoft selbst.
Wer verwendet das denn bei Euch, Microsoft - niemand?

Edit/PS: gerade noch einmal gegengetestet auf einer VM mit Server 2022 - hier funktioniert die TPMVSC.
Edit2: es geht auch auf Server 2022 nicht, sobald LSA Protection zusätzlich aktiviert wird!

Content-Key: 2281523312

Url: https://administrator.de/contentid/2281523312

Ausgedruckt am: 04.07.2022 um 13:07 Uhr

Mitglied: MirkoKR
MirkoKR 25.03.2022 um 21:33:34 Uhr
Goto Top
Zitat von @DerWoWusste:
. Es ist der neueste Treiber (Herstellerinfos, dass ein 4.1.3.3 existiert, stimmen nicht, hinter der 4.1.3.3-Datei verbirgt sich der 4.1.3.2, aber das ist hier nebensächlich)

Das weißt du definitiv WOHER?

Du bist ja hier als kompetent bekannt, also weißt du auch, das die neuesten Treiber nicht zwingend öffentlich zugänglich sind ...

.
Mitglied: DerWoWusste
DerWoWusste 25.03.2022 um 22:32:03 Uhr
Goto Top
Ist es das echt wert, besprochen zu werden? Hier sollte es um Erfahrungen mit dem Feature gehen und ich habe das als nebensächlich gekennzeichnet, da ich ja weiß, dass hier Leute gerne in Details (ob wichtig oder nicht) einsteigen.

Aber gut, ich weiß vom Gemalto-/Thales-Support selbst, dass folgender der Letzte ist:
https://supportportal.gemalto.com/csm?sys_kb_id=29b9bdc437e7be80cc472619 ... ist der "4.1.3.3"-Treiber, kannst Du ja laden und entpacken und ins .inf schauen, da steht dann DriverVer=11/18/2015, 4.1.3.2
Mitglied: MirkoKR
MirkoKR 26.03.2022 um 12:14:54 Uhr
Goto Top
Ich habe nur deshalb nachgefragt, weil ich bei einer anderen Hardware mal ein ähnliches Problem hatte....

... das mit dem neuesten Treiber das System nicht lief.

... Ein älterer Treiber funktionierte problemlos.

Letztlich war das Problem die Inkompatibilität des aktuellsten Treibers mit der nicht aktuellsten Firmware der Hardware.

Also Firmware aktualisiert, danach Treiber aktualisiert = Alles OK.

.
Mitglied: DerWoWusste
DerWoWusste 28.03.2022 um 10:59:09 Uhr
Goto Top
So, nun sehe ich bereits deutlich klarer, was hier vor sich geht in punkto TPMVSC.

Auf meinem PC ist nicht nur "Memory Integrity" aktiviert, sondern zusätzlich auch "Additional LSA Protection"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
"RunAsPPL"=dword:00000001

(siehe https://docs.microsoft.com/en-us/windows-server/security/credentials-pro ... )

Nur wenn beides zusammenspielt, kommt es zu dem Problem (und dann kommt es auch auf Server 2022 dazu)!
Das werde ich nun Microsoft melden.

Das andere Problem ist ja durch Gemaltos Treiber verursacht und ich hoffe, das von mir gemeldete Problem wird noch abgestellt.
Mitglied: 1915348599
1915348599 28.03.2022 aktualisiert um 16:12:28 Uhr
Goto Top
Mitglied: DerWoWusste
DerWoWusste 28.03.2022 um 16:47:43 Uhr
Goto Top
Ja, es wird nicht leichter, bei dem ganzen Gedöns noch den Überblick zu bewahren. Sicherheit sieht anders aus.
Mitglied: 1915348599
1915348599 28.03.2022 aktualisiert um 19:06:10 Uhr
Goto Top
Joa, kein Wunder das die dabei langsam aber sicher auch den Überblick verlieren, wenn man sich die Update-Misere ansieht wird es da sicherlich auch nicht besser aussehen, der Kunde wird halt wieder Versuchskaninchen.
Mitglied: DerWoWusste
DerWoWusste 05.04.2022 um 09:45:11 Uhr
Goto Top
Es wird lustig...
Mittlerweile kann ich das TPMVSC-Problem nirgendwo mehr reproduzieren, überall geht es einfach.
Auf einem PC half "memory integrity" deaktivieren, neu starten, re-aktivieren, neustarten.
*schulterzuck* - nicht sehr vertrauenserweckend.

Thales' Support beeindruckt derweil durch Untätigkeit.
Mitglied: DerWoWusste
DerWoWusste 09.05.2022 um 12:52:41 Uhr
Goto Top
Thales Support hat mittlerweile festgestellt, dass es von unserem SmartCard-Reader ID Brige CT700 eine neue Version gibt, die auch mit einem neueren Treiber arbeitet, der in der Tat dieses Problem nicht hat.

Falls es interessiert: das wäre die Hersteller-P/N 962-000027-004
Der Treiber ist dieser: https://supportportal.gemalto.com/csm/?id=kb_article_view&sys_kb_id= ...