Người dùng Windows cần quan tâm nhiều hơn đến các chứng chỉ được cài đặt trên máy tính của họ. Sự cố gần đây với Lenovo Superfish , Dell eDellRoot và Comodo PrivDog chứng chỉ chứng minh rằng người dùng phải chú ý khi họ cài đặt các ứng dụng mới và biết phần mềm và chứng chỉ nào được nhà sản xuất cài đặt sẵn trong hệ thống. Chứng chỉ giả mạo hoặc được tạo đặc biệt giúp tin tặc thực hiện các cuộc tấn công MiTM (man-in-the-middle), nắm bắt lưu lượng truy cập của bạn (bao gồm cả HTTPS), cho phép phần mềm hoặc tập lệnh độc hại chạy, v.v.
Theo quy định, các chứng chỉ này được cài đặt trong cửa hàng của Tổ chức phát hành chứng chỉ gốc đáng tin cậy. Hãy xem cách bạn có thể kiểm tra cửa hàng để tìm chứng chỉ của bên thứ ba.
Nói chung, Tổ chức phát hành chứng chỉ gốc đáng tin cậy cửa hàng chỉ nên chứa các chứng chỉ đáng tin cậy do Microsoft xác minh và xuất bản theo Chương trình chứng chỉ gốc đáng tin cậy của Microsoft . Để kiểm tra kho chứng chỉ để tìm chứng chỉ của bên thứ ba, hãy sử dụng Sigcheck (một công cụ từ Sysinternals).
- Tải xuống Sigcheck từ trang web của Microsoft (https://technet.microsoft.com/en-us/sysinternals/bb897441.aspx)
- Giải nén Sigcheck . zip vào bất kỳ thư mục nào (e. g., C:\ install \ sigcheck \)
- Khởi động dấu nhắc lệnh và đi tới thư mục chứa công cụ:cd C:\ install \ sigcheck \
- Chạy
sigcheck.exe –tvhoặcsigcheck64.exe –tv(đối với phiên bản Windows 64 bit) trong dấu nhắc lệnh - Ở lần chạy đầu tiên, dấu nhắc ký chấp nhận các điều khoản cấp phép
- Sau đó, công cụ tải xuống authrootstl.cab kho lưu trữ chứa danh sách các chứng chỉ gốc MS ở định dạng Danh sách Tin cậy Chứng nhận từ trang web của Microsoft và lưu nó vào thư mục riêng.
Mẹo . Nếu không có kết nối Internet trực tiếp trên máy tính của bạn, bạn có thể tự tải xuống authrootstl.cab theo liên kết này https://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab và đặt nó theo cách thủ công vào thư mục chứa SigCheck
- Công cụ sẽ so sánh danh sách chứng chỉ được cài đặt trên máy tính của bạn với danh sách chứng chỉ gốc MSFT trong authrootstl.cab. Nếu có chứng chỉ của bên thứ ba trong danh sách chứng chỉ gốc trên máy tính của bạn, SigCheck sẽ hiển thị chúng. Trong trường hợp của chúng tôi, có một chứng chỉ có tên test1 (đó là chứng chỉ tự ký được tạo bằng lệnh ghép ngắn New-SelfSignedCertificate mà tôi đã tạo để ký mã của tập lệnh PowerShell)
- Mỗi chứng chỉ của bên thứ ba được tìm thấy phải được phân tích để đánh giá xem nó có nằm trong danh sách các chứng chỉ đáng tin cậy hay không. Bạn cũng nên tìm hiểu ứng dụng đã cài đặt và sử dụng nó.
Mẹo . Nếu máy tính là một phần của miền, có khả năng danh sách chứng chỉ “bên thứ ba” sẽ chứa chứng chỉ gốc của tổ chức cấp chứng chỉ nội bộ (CA) và các chứng chỉ khác được tích hợp vào hình ảnh hệ thống hoặc được phân phối bằng GPO.
- Để xóa chứng chỉ khỏi danh sách chứng chỉ đáng tin cậy, hãy khởi động bảng điều khiển quản lý chứng chỉ ( msc ), mở rộng Tổ chức phát hành chứng chỉ gốc đáng tin cậy -> Chứng chỉ và xóa các chứng chỉ được tìm thấy bởi tiện ích SigCheck
Do đó, bạn nên kiểm tra kho chứng nhận bằng SigCheck trên tất cả các hệ thống, đặc biệt là trên các máy tính OEM có hệ điều hành được cài đặt sẵn và các bản dựng Windows khác nhau được phân phối qua một số trình theo dõi torrent phổ biến.