Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Unsignierten Treiber unter Windows 7 signieren

Mitglied: mayho33

mayho33 (Level 2) - Jetzt verbinden

21.06.2012, aktualisiert 25.06.2012, 35743 Aufrufe, 1 Kommentar, 7 Danke

Wer Windows 7 verwendet hat sicher schon festgestellt, dass das OS mault wenn ein unsignierter Treiber installiert werden soll. Das ist im Heimgebrauch zwar kein Problem, wer aber in großen Umgebungen arbeitet und Software auf professionelle weise verteilen muss (per GPO oder SCCM), wird sich hier schnell die Haare raufen.
Ein Möglichkeit diesem Problem aus dem Weg zu gehen ist den Treiber nachträglich zu signieren.

Diese Anleitung soll die vielen kleinen Schnipsel an Hilfen zum Thema treibersignierung unter W7, die sich im Inet finden, zusammenführen. Ich habe Tage damit verbracht kleine Puzzelteile zu sammeln, zu testen und zu studieren. Damit das nicht unbedingt jeder aufs neue machen muss, hier mein howTo dazu.

Dieses Beispiel signiert den Treiber für FreePDF per Machine, sprich, der Treiber ist für den gesamten PC XYZ gültig. Man könnte aber auch ein Signierung per User vornehmen was nicht sinnvoll ist, wenn sich verschiedenen Mitarbeiter am PC anmelden.

Als erstes werden einige Tools benötigt die sich alle im Windows Driver Kit befinden. Download: http://msdn.microsoft.com/en-US/windows/hardware/gg454513/

Nach der Installation des Toolkit kann man sich auf die Suche nach den Tools begeben und diese in einen eigenen Ordner kopieren. Vorsicht! Einige Tools benötigen zusätzliche Komponenten.

Eine Liste hier:

d578e7ecac6a5c7383e31efe54fa910d - Klicke auf das Bild, um es zu vergrößern
Danach sollte noch die aktuelle Version von FreePDF gezogen werden. Hier: http://freepdfxp.de/
Und das aktuelle GS. Hier: http://www.ghostscript.com/download/gsdnld.html
Bitte darauf achten, dass es die 32-Bit-Version von GS ist, auch wenn man ein x64- System verwendet!

Nun sind wir gerüstet um erfolgreich Treiber zu signieren!

1) Die geladene EXE von FreePDF in eine eigenen Ordner entpacken

2) Darin enthalten ist eine freepdfxp.inf. Diese muss zuerst bearbeitet werden wie hier gezeigt:

7acf615a2bc7deda918b9df7e254f655 - Klicke auf das Bild, um es zu vergrößern

Speziell geht es um diesen Eintrag: DriverVer=xxxxxxxxxx Der muss geändert werden auf: DriverVer=04/21/2009,1.0.0.0 weil CERTUTIL sonst seine Arbeit nicht richtig tut.

3) Nun die Konsole öffnen und zum Ordner der kopierten Tools navigieren

4) Der folgende Befehl legt eine eigenen Store im Certstore an und dort das eigentliche Zertifikat das wir benötigen
MAKECERT.EXE -r -n "CN=<Name des Zertifikats>" -ss <Name des Stores> -sr LocalMachine
5) Öffnen wir nun den Certstore (Start ==> Ausführen ==> Datei ==> Snapin hinzufügen ==> Zertifikate ==> Computerkonto ==> Lokaler Computer ==> OK) kann man einen eigenen Store "FreePDF" sehen und das darin enthaltenen Zertifikat:

09638374dd1332b27a5ffc8108866d44 - Klicke auf das Bild, um es zu vergrößern

6) Danach muss das Zertifikat exportiert werden
CERTUTIL.exe -store FreePDF "SignedFreePDF" "<Speicherort\zertifikat.cer>"
7) Und von dort wird es nun in die Certstores "Vertrauenswürdige Stammzertifikate" und "Vertrauenswürdige Herausgeber" importiert
certmgr.exe -add -all -c "<Speicherort\zertifikat.cer>" -s -r localmachine root 
certmgr.exe -add -all -c "<Speicherort\zertifikat.cer>" -s -r localmachine trustedpublisher
8) Anschließend eine CAT-Datei erstellen welche das Zertifikat und die freepdfxp.inf quasi miteinander verheiratet
inf2cat.exe /driver:"<Pfad zum Ordner der freepdfxp.inf>" /os:7_x64 
 
Der Eintrag /os:7_x64 ist variabel. Für ein Xp X86 lautet er: /os:xp_x86 
 
signtool.exe sign /s FreePDF / n "SignedFreePDF" /t http://timestamp.verisign.com/scripts/timestamp.dll "<der Pfad wo auch die freepdfxp.inf liegt\oemprint.cat>"
9) Fertig zur Installation! Zuerst GS installieren, anschließend fpsetup.exe aufrufen (Liegt in dem Pfad wo nun auch die OEMPRINT.CAT liegen sollte)

10) Windows7 schreit nicht mehr auf, der Treiber wird problemlos akzeptiert. Nun sollte das ganze natürlich in ein Script verpackt werden, damit die Verteilung per SCCM oder GPO auch funktioniert.

Viel Spaß beim Basteln!

PS: Eine Anleitung, aber nicht so Detailreich wie man sie gerne hätte gibt es auf TechNet: hier und hier
Mitglied: nikoatit
21.06.2012 um 13:57 Uhr
Moin,

die Anleitung ist verständlich und übersichtlich!
Danke

Gruß
Bitte warten ..
Ähnliche Inhalte
Windows 10

Windows 10 nicht signierte Treiber installieren

Tipp von certifiedit.netWindows 102 Kommentare

Guten Morgen Kollegen und Admins, da ich vorhin kurz vor Feierabend die schöne Erfahrung machen durfte, dass Windows 10 ...

Windows 7

Ohne Virenscanner keine Windows (7) Updates

Tipp von mathuWindows 72 Kommentare

Wenn auf Windows 7 Systemen keine Windowsupdates aktuell (ab Januar 2018) mehr laufen, kann es daran liegen, daß kein ...

Windows 7

Windows 7 zeigt keine Netzwerkverbindungen an

Tipp von ApophisWindows 72 Kommentare

Hallo, vielleicht erspart das Folgende ja dem einen oder anderen langes Suchen bzw. eine Neuinstallation. Nach einem Stromausfall konnte ...

Windows 7

Windows 7 mit Intel Skylake CPU

Tipp von KuemmelWindows 75 Kommentare

Moin, wie vielleicht schon die ein oder anderen von euch wissen, ist es mit einem Intel-Skylake-CPU (6.Generation) und Windows ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 12 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 12 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 12 StundenHardware11 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
solved Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...