Programmkontrolle Erlaubnis für eigene exe schlägt fehl

[Ganzfix]

Hallo,

ich habe eine exe-Datei mit Visual Studio.net erstellt. Die exe-Datei hat eine digitales Zertifikat.

Ich habe im KSC eine Programmkategorie erstellt, in der sowohl das Zertifikat als auch der Hash aus der exe-Datei gelesen wurden und diese stimmen auch mit den Dateieigenschaften überein. Diese Programmkategorie habe ich in der Programmkontrolle einer "allow-Liste" zugefügt. Die Richtlinie wird auch korrekt auf den PC übernommen und die Programmkategorie ist darin enthalten.

Trotzdem wird bei Regeln testen diese exe-Datei als verboten angezeigt. Der SHA256-Hash welcher im Ereignis angezeigt wird, entspricht genau dem in der Programmkategorie. Für andere Programme und auch batch-Dateien hat dieses Verfahren bisher gut funktioniert. Eigentlich geht es mir vor allem um das Zertifikat, weil das natürlich viel einfacher ist als ein Hash der sich mit jeder Programmversion ändert.

Hat jemand einen Tipp, wo die Ursache liegen könnte?

Viele Grüße, Nils

[Ganzfix]

Ergänzung mit dem Hash funktioniert es doch, keine Ahnung warum es bei den ersten Test nichts ging.

Mit dem eigenen Zertifikat leider nicht. Es handelt sich um ein gekauftes Firmenzertifikat, welches auch eine gültige Zertifikatskette hat.

Mit Zertifikaten von Fremdfirmen z.B. Mozilla Corporation funktioniert die Programmkontrolle.

Laut meiner Anfrage beim Companyaccount müsste man erst eine Inventarisierung der Software machen. Das wundert mich ein bisschen, weil es ja mit Zertifikaten von Fremdfirmen funktioniert. Außerdem ist es ja mein Ziel, dass Programme die erst in der Zukunft mit dem Zertifikat erstellt werden erlaubt werden sollen, da hilft doch keine Inventarisierung, oder?

[alexcad]

Am 24.11.2023 um 14:47 schrieb Ganzfix:

Laut meiner Anfrage beim Companyaccount müsste man erst eine Inventarisierung der Software machen. Das wundert mich ein bisschen, weil es ja mit Zertifikaten von Fremdfirmen funktioniert. Außerdem ist es ja mein Ziel, dass Programme die erst in der Zukunft mit dem Zertifikat erstellt werden erlaubt werden sollen, da hilft doch keine Inventarisierung, oder?

Vielen Dank für die Infos.
Die Aussage wundert mich auch - hast du das weiter eskaliert? 

Grüße
Alex

[Ganzfix]

Hallo Alex,

INC000015925569 zur Anfrage

ich habe um dem Support entgegen zukommen eine Inventarisierung durchgeführt, was aber nichts geändert hat und warte nun was der Support als nächstes vorschlägt.

Ich habe dem Support auch eine exe-Datei zum Testen bereitgestellt, vermute aber, dass Sie diese noch gar nicht probiert haben. Ich könnte Dir die Datei auch zur Verfügung stellen, falls Du es mal nachstellen magst.

Mittlerweile habe ich aber auch schon eine weitere Fremdsoftware, bei welcher das gleiche Problem auftritt.

Gruß, Nils

[Ganzfix]

Ich wollte das Problem mal ohne KSC ausprobieren und direkt im KES (Version 12.3) die Programmkontrolle definieren. Seltsamerweise wird das Zertifikat dort gar nicht erkannt:

Es ist aber vorhanden

und im KSC wird es ja auch erkannt:

Wenn das Zertifikat vom KES nicht richtig erkannt wird dann kann dies natürlich auch die Ursache sein warum die Programmkontrolle nicht richtig funktioniert.

 

[Ganzfix]

Habe mittlerweile auch zwei Softwareprodukte von Fremdfirmen wo die Zertifikate im KES nicht erkannt werden.
Einmal die Software "AI Bietercockpit". Dies gilt sowohl für die Installations-Datei AI_WEBLAUNCHER64bit.exe als auch für die beiden exe-Dateien welche durch die Installation erstellt werden.

Des weiteren trat es bei MATLAB von mathworks.com auf.

Laut Support liegt es angeblich daran, dass die Zertifikate bei Kaspersky eingereicht werden müssten. Seltsam ist aber, dass die Zertifikate im KSC erkannt werden im KES aber nicht. Und wenn KES das Zertifikat nicht erkennt, dann funktioniert das Whitelisting anhand er Richtlinie mit Zertifikat nicht.