Der Umgang mit verdächtigen Drittanbieterzertifikaten unter Windows kann knifflig sein, insbesondere da sie sich unbemerkt durch Malware oder sogar scheinbar legitime Installationen einschleichen können. Wenn Ihr System ungewöhnlich reagiert oder Sie einfach nur sichergehen möchten, dass keine verdächtigen Zertifikate vorhanden sind, ist die Überprüfung Ihres Zertifikatsspeichers ratsam. Ziel ist es, alles zu erkennen, was dort nicht hingehört – beispielsweise eine manipulierte Stammzertifizierungsstelle oder ein selbstsigniertes Zertifikat, das ohne Genehmigung durch die Kontrollen gelangt ist. Diese Methode mit sigcheck ist sehr praktisch, da sie Ihre installierten Zertifikate mit den offiziellen vertrauenswürdigen Stammzertifizierungsstellen von Microsoft vergleicht und alles Verdächtige markiert. Bei manchen Konfigurationen kann ein solches zufälliges Zertifikat ein Hinweis auf Malware oder ein internes Firmenzertifikat sein, das Sie vergessen haben. In jedem Fall trägt die regelmäßige Überprüfung, insbesondere bei Neuinstallationen oder OEM-Installationen, zur Sicherheit Ihres Systems bei.
So überprüfen Sie verdächtige Drittanbieterzertifikate unter Windows
Methode 1: Verwendung von Sigcheck zum Aufspüren nicht vertrauenswürdiger Zertifikate
Dieses Tool ist super, weil es Ihre Zertifikate mit der Liste vertrauenswürdiger Zertifikate von Microsoft abgleicht und unbekannte oder potenziell schädliche Zertifikate hervorhebt. Netzwerkprobleme oder HTTPS-Fehler werden oft durch gefälschte Zertifikate verursacht. Auf vielen Rechnern installiert Schadsoftware ihre eigene Stammzertifizierungsstelle, um Man-in-the-Middle-Angriffe durchzuführen oder den Datenverkehr abzufangen – ziemlich seltsam, aber es kommt vor. Der einzige Haken? Sie benötigen Administratorrechte und müssen das Tool zuerst herunterladen.
- Laden Sie das Sigcheck-Dienstprogrammarchiv von der Sysinternals-Seite herunter und entpacken Sie es beispielsweise nach C:\Tools\Sigcheck. Falls dieser Ordner nicht existiert, erstellen Sie ihn einfach. Da Windows bekanntlich alles kompliziert macht, kann das Entpacken bei falschen Berechtigungen fehlschlagen. Führen Sie es daher als Administrator aus.
- Öffnen Sie die Eingabeaufforderung als Administrator. Drücken Sie dazu die Eingabetaste, geben Sie Windows + Rdann „“ ein
cmdund drücken Sie die Eingabetaste Ctrl + Shift + Enter. - Wechseln Sie in das Verzeichnis, in dem Sie Sigcheck extrahiert haben:
cd c:\tools\sigcheck. Ich bin mir nicht sicher, warum, aber manchmal erkennt der Befehl es einfach nicht, wenn Sie dies nicht tun. - Führen Sie den Befehl zum Scannen des Stammzertifikatspeichers des Rechners aus:
sigcheck64.exe -tv root. Möglicherweise werden Ihnen zahlreiche Zertifikate angezeigt. Wichtig ist: Wenn einige davon verdächtige Fingerabdrücke oder Ausstellerinformationen aufweisen, sollten Sie genauer nachforschen. - Um alle Zertifikatsspeicher vollständig zu durchsuchen, führen Sie folgenden Befehl aus:
.\sigcheck64.exe -tv *. Für benutzerspezifische Zertifikate fügen Sie Folgendes hinzu:.Manchmal gelingt es Schadsoftware nicht, ihre Zertifikate im Systemspeicher zu platzieren, sondern sie schmuggelt sie in den Benutzerspeicher ein. Daher ist es ratsam, beide zu überprüfen.-u\sigcheck64.exe -tuv *
Was bringt das? Sigcheck vergleicht Ihre installierten Zertifikate mit denen auf der Vertrauensliste von Microsoft und markiert nur die nicht übereinstimmenden. Offline ist die Vorgehensweise etwas aufwendiger: Sie müssen die Datei „authrootstl.cab“ von der Microsoft-Website ( Link hier ) herunterladen und in denselben Ordner wie Sigcheck kopieren. Dadurch können Sie Offline-Prüfungen durchführen, was besonders praktisch für vom Internet getrennte Systeme oder schnelle Offline-Audits ist.
In den meisten Fällen sollten Sie keine Zertifikate von Drittanbietern sehen, die Sie nicht selbst installiert haben. Falls doch, insbesondere im Stammzertifikatspeicher, könnten diese schädlich oder unnötig sein. Beachten Sie, dass auf Domänenrechnern einige Stammzertifikate über Gruppenrichtlinien verteilt werden können. Geraten Sie also nicht in Panik, wenn Ihnen etwas bekannt vorkommt, sofern Ihr IT-Team Ihren Rechner verwaltet.
Falls Sie ein verdächtiges Zertifikat finden, kopieren Sie den Fingerabdruck aus der Ausgabe von Sigcheck und führen Sie den Befehl zum Entfernen aus. Alternativ können Sie das Zertifikat auch über den visuellen Editor certmgr.msccertutil –delstore Root CB19F3F57A4EDB004059DEE436A1989D04275196 bereinigen. Erweitern Sie dazu einfach „Vertrauenswürdige Stammzertifizierungsstellen“ > „Zertifikate“, klicken Sie mit der rechten Maustaste auf das verdächtige Zertifikat und wählen Sie „Löschen“.
Windows macht es einem natürlich unnötig kompliziert, daher hilft es, diese Scans regelmäßig durchzuführen, um Angreifer fernzuhalten. Regelmäßige Überprüfungen sind besonders wichtig bei OEM-Geräten oder Systemen mit vorinstallierter Software, die aus unerfindlichen Gründen möglicherweise vertrauenswürdige Zertifikate enthält.
Zusammenfassung
- Laden Sie Sigcheck von der Microsoft-Website herunter.
- Führen Sie das Programm als Administrator aus und überprüfen Sie Ihre Stamm- und Benutzerverzeichnisse.
- Vergleichen Sie die Liste mit vertrauenswürdigen Microsoft-Wurzeln.
- Entfernen Sie verdächtige Zertifikate anhand des Fingerabdrucks.
- Verwenden Sie bei Bedarf certmgr.msc für eine visuelle Bereinigung.
- Führen Sie diese Schritte regelmäßig durch, insbesondere bei neuen oder OEM-Geräten.
Zusammenfassung
Zusammenfassend lässt sich sagen, dass es keine schlechte Idee ist, den Zertifikatsspeicher im Auge zu behalten – Schadsoftware installiert gerne dubiose Stammzertifikate, da diese viele Sicherheitsprüfungen umgehen. Mit Sigcheck ist das recht einfach, sobald man sich damit vertraut gemacht hat. Regelmäßige Überprüfungen, insbesondere nach der Installation neuer Software oder Updates, können später viel Ärger ersparen. Denken Sie daran: Einige interne oder Firmenzertifikate sind unbedenklich, also keine Panik, wenn Sie ein paar ungewöhnliche Zertifikate entdecken. Ich hoffe, das hilft Ihnen weiter und gibt Ihnen zumindest eine Vorstellung davon, worauf Sie achten sollten, falls es Probleme mit HTTPS oder dem Netzwerkverkehr gibt.