Ako zapnúť/vypnúť automatické overenie certifikátu pre .EXE súbory vo Win11?
Systém mám Windows 11 Pro, Version 22H2, OS build 22621.1194, Experience Windows Feature Experience Pack 1000.22638.1000.0
Skúsil som ručne zmeniť pár bajtov v .exe súbore a nejak automaticky som očakával, že ma win upozorní, že súbor bol zmenený. Keď si cez vlastnosti toho .exe rozkliknem digitálny certifikát, tak vidím "This digital signature is not valid". Ale normálne ho spustím, bez varovania od systému.
Na webe som našiel len rôzne ručné spôsoby overenia. ChatGDP pozná len win10:
V operačnom systéme Windows 10 je možné automaticky kontrolovať správnosť digitálnej signatúry pre .EXE súbory nasledovne:
Otvorte "Control Panel" (Ovládací panel).
Vyberte "System and Security" (Systém a bezpečnosť).
Kliknite na "Action Center" (Centrum akcií).
V ľavom navigačnom menu vyberte "Security" (Bezpečnosť).
V časti "Security and Maintenance" (Bezpečnosť a údržba) kliknite na tlačidlo "Change Security and Maintenance settings" (Zmeniť nastavenia bezpečnosti a údržby).
Zaškrtnite políčko "Check apps and files" (Kontrolovať aplikácie a súbory).Týmto ste povolili automatickú kontrolu digitálnej signatúry pre .EXE súbory pri ich spustení v operačnom systéme Windows 10.
Všimnite si, že táto funkcia môže byť v závislosti od vašej konfigurácie vypnutá.
Vo win11 nikde "Check apps and files" nevidím, viď. príloha:
1. Vie niekto poradiť, čo a kde zapnúť?
2. Nepotrebujem nejaké blokovanie spustenia, stačí mi upozornenie, s možnosťou rozhodnúť sa, či pokračovať.
https://windowsreport.com/windows-11-driver-signature-enforcement/
Ďakujem za odpoveď, vyskúšal som nastaviť cez gpedit.msc. Ale ako už názov hovorí, zrejme to overuje len podpis pre ovládače (žiadny nový driver som neinštaloval, takže nemôžem potvrdiť).
Klasický pozmenený .exe spustím stále bez varovania.
Ten exe je podepsaný nebo ne?
Pokud není podepsaný, není co kontrolovat. Tam bys musel mít udělanou databázi hashů a při spuštění soft kontrolovat. Tohle dělaly některé antivirové programy
Pokud je podepsaný a ty jej pozměníš, pak by se Windows ozvat měly, protože v té chvíli jsi zneplatnil podpis.
Soft, stažený z netu nebo spouštěný ze sítě by měl zobrazit při prvním spuštění varovné okno, žluté pro nepodepsané, modré pro podepsané programy
Ano, je podpisany. Nie je stiahnuty z webu (lokalne som vytvoril kopiu povodneho exe a pozmenil ho az na svojom PC) ani ho nespustam zo siete.
To som si aj ja myslel, vobec to vsak nefunguje.
Tu som nasiel nejaky postup system-settings-use-certificate-rules-on-windows-executables-for-software-restriction-policies
cez gpedit.msc som nastavil v Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
polozku Use Certificate Rules on Windows Executables for Software Restriction Policies -> nastavene na ON (bola default OFF), nic sa vsak nezmenilo
Takze predpokladam, ze to bud Win 11 Pro nedokaze (a je to az v nejakej enterprise edicii) alebo to chce povolit/nastavit este niekde, netusim vsak co a kde.
Kazdopadne ma prekvapilo, ze takato jednoducha vec nie je dostupna na 1-2 kliknutia. Pride mi normalne, ze takato kontrola validnosti podpisu by mala byt v systeme standardne zapnuta a jednoducho pristupna v nastaveniach.
Vnukol si mi myslienku s tym stahovanim z internetu, takze som spravil pokus, nahral som na web validnu aj zmenenu apku a nasledne ich klasicky stiahol. Validna apka sa normalne spusti, pri zmenenej apke to zahlasi:
Windows protected your PC
Microsoft Defender SmartScreen prevented an unrecognized app from starting. Running this app might put your PC at risk.
Ked rozkliknem podrobnosti, vidiet nazov + publisher (komplet, vratane adresy). Ani slovo, ze podpis nesedi...
Jakym zpusobem jsi pozmenil exe po podpisu?
Programik Ultraedit v hexa rezime, zmenil som par pismen v nejakych textovych retazcoch. Pozeram, ze ta moja verzia ma uz 20 rokov