注册表WinTrust\Trust Providers\Software Publishing作用是是否要做“检查证书是否吊销”

http://support.obtain.com/knowledgebase/codesign/CRLDisable.html

禁用证书吊销列表

默认情况下,OBTAIN 服务器服务在本地系统帐户下作为 Windows 服务运行。要禁用本地系统的 CRL 检查,我们必须使用注册表进行更改。


1) 在服务器机器上,单击“开始->运行”(可能因您的操作系统而异),在“打开”框中键入“regedit”,单击“确定”



2) 导航到HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing



3) 选择Software Publishing - 在右侧栏中,双击“State”键,将值从'0x00023c00'更改为'0x00023e00'


 

 

必须强制检查发布者证书吊销。

https://www.stigviewer.com/stig/microsoft_dot_net_framework_4.0/2016-03-01/finding/V-7061

概述

查找 ID版本规则 IDIA 控制严重性
V-46477 DTBI018-IE11 SV-59341r4_rule   低的
描述
应强制检查发布者的证书吊销选项,以确保验证所有 PKI 签名对象。
斯蒂格日期
Microsoft Internet Explorer 11 安全技术实施指南 2017-12-12

细节

检查文本 (C-49687r7_chk)
如果系统在 SIPRNet 上,则此要求为 NA。

打开 Internet Explorer。
从菜单栏中,选择“工具”。
从“工具”下拉菜单中,选择“Internet 选项”。从“Internet 选项”窗口中,选择“高级”选项卡,从“高级”选项卡窗口中,向下滚动到“安全”类别,并确认已选中“检查发布者的证书吊销”框。

过程:使用 Windows 注册表编辑器导航到以下项:
HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing Criteria

如果值“State”为“REG_DWORD = 23C00”,则这不是发现.
修复文本 (F-50269r8_fix)
如果系统在 SIPRNet 上,则此要求为 NA。

打开 Internet Explorer。
从菜单栏中,选择“工具”。
从“工具”下拉菜单中,选择“Internet 选项”。在“Internet 选项”窗口中,从“高级”选项卡窗口中选择“高级”选项卡,向下滚动到“安全”类别,然后选择“检查发布者的证书吊销”框。

注意:在注册表项中手动输入:

HKCU\Software\Microsoft\Windows\Current Version\WinTrust\Trust Providers\Software Publishing 值“State”,设置为“REG_DWORD = 23C00”,可能首先需要。

下面我将创建一个我正在查看的示例的粗略网格:第一行将是位位置,右侧的括号中将是 State 键的等效 HEX 值

20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1
0 0 1 0 0 0 1 1 1 1 0 0 0 0 0 0 0 0 0 0 (23C00)
0 0 1 0 0 0 1 1 1 1 1 0 0 0 0 0 0 0 0 0 (23E00)

所以看上面的项目,我们看到 HEX 值 23C00 和 23E00 之间的差异是位置 10 的值从“0”变为“1”。

此值与 Internet Explorer 中的“检查发布者证书吊销”复选框相关联。值为 23C00 表示未选中此框,而值为 23E00 表示已选中

 

首先,我想解释一下 Wintrust 是如何工作的。

请注意,WinTrust 是 Microsoft 信任验证服务的名称(和 DLL),它提供了一个通用 API 来确定特定主体是否可以信任。

信任验证服务由信任提供者实施。有一个内置的信任提供者:Software Publishing软件发布信任提供程序允许调用应用程序确定软件组件是否包含将其标识为由本地用户系统上受信任的发布者发布的真实软件的数字签名。 

软件发布信任提供程序使用注册表项(基于每个用户)来指定信任策略标志。策略标志被定义为WintrustGetRegPolicyFlags的枚举(您可以在此处查看详细信息:http: //msdn.microsoft.com/en-us/library/aa388197)。   

WintrustGetRegPolicyFlags可以具有以下按位值组合  

旗帜 价值 意义
WTPF_TRUSTTEST 0x00000020 信任任何测试证书。
WTPF_TESTCANBEVALID 0x00000080 检查任何测试证书的有效性。
WTPF_IGNOREEXPRATION 0x00000100 使用有效期。
WTPF_IGNOREEVOKATION 0x00000200 做吊销检查。
WTPF_OFFLINEOK_IND 0x00000400 如果源处于脱机状态,请信任任何单独的证书
WTPF_OFFLINEOK_COM 0x00000800 如果源离线,请信任任何商业证书
WTPF_OFFLINEOKNBU_IND 0x00001000 如果源处于脱机状态,请信任任何单独的证书。不要使用用户界面 (UI)。
WTPF_OFFLINEOKNBU_COM 0x00002000 如果源处于脱机状态,请信任任何商业证书。不要使用检查 UI。
WTPF_VERIFY_V1_OFF 0x00010000 关闭 1.0 版证书的验证。
WTPF_IGNOREREVOCATIONONTS 0x00020000 忽略时间戳吊销检查。
WTPF_ALLOWONLYPERTRUST 0x00040000 仅允许个人信任数据库中的项目。

例如,为了将“状态”值从“ 0x00023c00 ”更改为值“ 0x00023e00 ”,我们需要添加标志 WTPF_IGNOREREVOKATION 。此标志将为信任提供者设置策略以忽略吊销检查。

posted @ 2022-09-13 16:26  bonelee  阅读(175)  评论(0编辑  收藏  举报