Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Ako zapnúť/vypnúť automatické overenie certifikátu pre .EXE súbory vo Win11?

Systém mám Windows 11 Pro, Version 22H2, OS build 22621.1194, Experience Windows Feature Experience Pack 1000.22638.1000.0

Skúsil som ručne zmeniť pár bajtov v .exe súbore a nejak automaticky som očakával, že ma win upozorní, že súbor bol zmenený. Keď si cez vlastnosti toho .exe rozkliknem digitálny certifikát, tak vidím "This digital signature is not valid". Ale normálne ho spustím, bez varovania od systému.

Na webe som našiel len rôzne ručné spôsoby overenia. ChatGDP pozná len win10:

V operačnom systéme Windows 10 je možné automaticky kontrolovať správnosť digitálnej signatúry pre .EXE súbory nasledovne:

Otvorte "Control Panel" (Ovládací panel).
Vyberte "System and Security" (Systém a bezpečnosť).
Kliknite na "Action Center" (Centrum akcií).
V ľavom navigačnom menu vyberte "Security" (Bezpečnosť).
V časti "Security and Maintenance" (Bezpečnosť a údržba) kliknite na tlačidlo "Change Security and Maintenance settings" (Zmeniť nastavenia bezpečnosti a údržby).
Zaškrtnite políčko "Check apps and files" (Kontrolovať aplikácie a súbory).

Týmto ste povolili automatickú kontrolu digitálnej signatúry pre .EXE súbory pri ich spustení v operačnom systéme Windows 10.

Všimnite si, že táto funkcia môže byť v závislosti od vašej konfigurácie vypnutá.

Vo win11 nikde "Check apps and files" nevidím, viď. príloha:

1. Vie niekto poradiť, čo a kde zapnúť?

2. Nepotrebujem nejaké blokovanie spustenia, stačí mi upozornenie, s možnosťou rozhodnúť sa, či pokračovať.

Předmět Autor Datum
https://windowsreport.com/windows-11-driver-signature-enforcement/
Jan Fiala 09.02.2023 10:56
Jan Fiala
Ďakujem za odpoveď, vyskúšal som nastaviť cez gpedit.msc. Ale ako už názov hovorí, zrejme to overuje…
palos2 09.02.2023 11:23
palos2
Ten exe je podepsaný nebo ne? Pokud není podepsaný, není co kontrolovat. Tam bys musel mít udělanou…
Jan Fiala 09.02.2023 14:36
Jan Fiala
Ano, je podpisany. Nie je stiahnuty z webu (lokalne som vytvoril kopiu povodneho exe a pozmenil ho a…
palos2 09.02.2023 15:57
palos2
Vnukol si mi myslienku s tym stahovanim z internetu, takze som spravil pokus, nahral som na web vali…
palos2 09.02.2023 16:32
palos2
Jakym zpusobem jsi pozmenil exe po podpisu?
Jan Fiala 09.02.2023 18:50
Jan Fiala
Programik Ultraedit v hexa rezime, zmenil som par pismen v nejakych textovych retazcoch. Pozeram, ze… poslední
palos2 09.02.2023 19:36
palos2

Ďakujem za odpoveď, vyskúšal som nastaviť cez gpedit.msc. Ale ako už názov hovorí, zrejme to overuje len podpis pre ovládače (žiadny nový driver som neinštaloval, takže nemôžem potvrdiť).

Klasický pozmenený .exe spustím stále bez varovania.

Ten exe je podepsaný nebo ne?
Pokud není podepsaný, není co kontrolovat. Tam bys musel mít udělanou databázi hashů a při spuštění soft kontrolovat. Tohle dělaly některé antivirové programy
Pokud je podepsaný a ty jej pozměníš, pak by se Windows ozvat měly, protože v té chvíli jsi zneplatnil podpis.

Soft, stažený z netu nebo spouštěný ze sítě by měl zobrazit při prvním spuštění varovné okno, žluté pro nepodepsané, modré pro podepsané programy

Ano, je podpisany. Nie je stiahnuty z webu (lokalne som vytvoril kopiu povodneho exe a pozmenil ho az na svojom PC) ani ho nespustam zo siete.

Pokud je podepsaný a ty jej pozměníš, pak by se Windows ozvat měly, protože v té chvíli jsi zneplatnil podpis.

To som si aj ja myslel, vobec to vsak nefunguje.

Tu som nasiel nejaky postup system-settings-use-certificate-rules-on-windows-executables-for-software-restriction-policies
cez gpedit.msc som nastavil v Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
polozku Use Certificate Rules on Windows Executables for Software Restriction Policies -> nastavene na ON (bola default OFF), nic sa vsak nezmenilo

Takze predpokladam, ze to bud Win 11 Pro nedokaze (a je to az v nejakej enterprise edicii) alebo to chce povolit/nastavit este niekde, netusim vsak co a kde.

Kazdopadne ma prekvapilo, ze takato jednoducha vec nie je dostupna na 1-2 kliknutia. Pride mi normalne, ze takato kontrola validnosti podpisu by mala byt v systeme standardne zapnuta a jednoducho pristupna v nastaveniach.

Vnukol si mi myslienku s tym stahovanim z internetu, takze som spravil pokus, nahral som na web validnu aj zmenenu apku a nasledne ich klasicky stiahol. Validna apka sa normalne spusti, pri zmenenej apke to zahlasi:
Windows protected your PC
Microsoft Defender SmartScreen prevented an unrecognized app from starting. Running this app might put your PC at risk.

Ked rozkliknem podrobnosti, vidiet nazov + publisher (komplet, vratane adresy). Ani slovo, ze podpis nesedi...

Zpět do poradny Odpovědět na původní otázku Nahoru