In der IT-Welt mit SINN

Was so läuft ...

Der Lockdown-Mechanismus in triCerat Simplify Suite 5.3.0 greift auf Windows Server 2008 R2 nicht

by Andreas Fleischmann 22. Juli 2010 23:38

In der aktuellen Version (5.3.0) der triCerat Simplify Suite greift der Lockdown-Mechanismus unter Windows Server 2008 R2 nicht. triCerat Simplify Lockdown nutzt unteranderem die LoadLibrary()-Funktion während des DLL_PROCESS_ATTACH-Prozesses der User32.dll. Dazu sind entsprechende DLLs unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls und unter HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls eingetragen.

Microsoft hat in Server 2008 R2 diese Schnittstelle dahingehend geändert, dass die DLLs, die dort eingetragen sind, zwingend signiert sein müssen (code-signed).
http://msdn.microsoft.com/en-us/library/dd744762(VS.85).aspx

In der aktuellen Version der triCerat Simplify Suite sind die DLLs "Lock64.dll" und "Lock32.dll" nicht code-signiert, was zur Folge hat, dass diese vom Betriebssystem nicht geladen werden.

Andere Betriebssysteme, wie Windows 2000, XP, Vista, Windows 7, Server 2003 und Server 2008, betrifft das Problem nicht, da diese keine code-signierten DLLs an dieser Stelle einfordern.

Lösung:

Vorübergehend, bis zum nächsten Release der triCerat Simplify Suite, kann das Problem dadurch umgangen werden, in dem mit Hilfe einer Registryänderung die zwingende Anforderung der code-signierten DLLs, die in AppInit_DLLs eingetragen sind, abgeschalten wird.

Um die Überprüfung der Signatur der DLLs in AppInit_DLLs auf Server 2008 R2 abzuschalten gibt man folgenden Werte in die Registrierung ein:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"RequireSignedAppInit_DLLs"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]
"RequireSignedAppInit_DLLs"=dword:00000000

triCerat Simplify Lockdown not blocking applications on Windows Server 2008 R2