Einem Herausgeber immer vertrauen
 

Moin!

Ich bekomme von einem Hersteller, dem ich grundsätzlich immer vertraue (persönlich bekannt), eine Reihe verschiedener Delphi-Programme (*.exe). Die Programme sind alle mit dem selben Zertifikat signiert. Die Signatur ist selbst erstellt (ohne Verisign oder anderen Trustcentern). Das Zertifikat hat der Hersteller erstellt und mir übermittelt. Ich habe es erfolgreich meinem Windows 7 System zugefügt. Trotzdem fragt Windows 7 bei jedem Programmstart von diesen Programmen nach: "Möchten Sie diese Datei ausführen?". Der Herausgebername aus dem Zertifikat wird dabei korrekt angezeigt. Es handelt sich also um ein für mich vertrauenswürdiges Programm.

Kann man irgendwo in Windows 7 einstellen, dass ich einem bestimmten Herausgeber (also einer bestimmten Signatur) immer vertraue, damit diese Nachfrage unterbleibt?

AW: Einem Herausgeber immer vertrauen
 

Das sieht mir danach aus, als ob das Programm immer Admin-Rechte anfordert? ("requireAdmin"-Manifest)
Dann bekommst du immer einen Prompt, ausser du schaltest die UAC ab...nicht empfehlenswert :D

AW: Einem Herausgeber immer vertrauen
 

Startest du die Datei von einem Netzlaufwerk? Was zeit der Windows Explorer für diese Verzeichnis für eine Symbol in der Statuszeile an?

AW: Einem Herausgeber immer vertrauen
 

Müsste dann nicht die Passwortabfrage kommen anstatt der Nachfrage, ob das Programm wirklich gestartet werden soll?

AW: Einem Herausgeber immer vertrauen
 

Nicht unbedingt: Wenn man als Admin eingeloggt ist, braucht man nur "Ja" oder "Nein" zu klicken, ohne Passwort-Abfrage

AW: Einem Herausgeber immer vertrauen
 

Ja, wird von einem Netzlaufwerk gestartet.

AW: Einem Herausgeber immer vertrauen
 

Oder meinst du diese Meldung, welche bei allen Programmen angezeigt wird, wenn sie mit dem Browser runtergeladen wurden?
Dafür ist ein ADS verantwortlich, welcher unabhängig von der Signatur ist.

[edit]
OK, dann vermutlich nicht.

AW: Einem Herausgeber immer vertrauen
 

Braucht das Programm denn Admin-Rechte bzw. fordert es sie über ein Manifest an?
Wenn ja, kannst du diesen NAG-Screen nicht abschalten, auch mit einem Zertifikat nicht.
Ausser, wie ich bereits sagte, UAC-Stufe 0 einstellen..aber das ist ein ganz anderes Thema...

AW: Einem Herausgeber immer vertrauen
 

Du verwechselst etwas, und zwar Herkunftszertifikate und UAC Prompt. Der UAC Prompt kommt immer, wenn ein Programm Adminrechte anfordert. Das Programm kann, muss aber nicht zertifiziert sein.
Wenn es denn ein gültiges Zertifikat besitzt, dann änderts sich das Aussehen des UAC Prompts so, dass es er nicht mehr "bedrohlich" wirkt.

Ohne Zertifikat sieht der Dialog so aus:
http://www.winsupersite.com/images/s..._ff_uac_06.jpg
Mit einem Zertifikat sieht er so aus:
http://www.winsupersite.com/images/s..._ff_uac_04.jpg
Und wenn Microsoft sein Zertifikat nutzt, dann sieht es noch weniger "bedrohlich" aus:
http://res1.windows.microsoft.com/re...57968c0e3a.png

AW: Einem Herausgeber immer vertrauen
 

Müsste diese IE-Option sein (Siehe Dateianhang)

AW: Einem Herausgeber immer vertrauen
 

Öh, was anderes hab ich jetzt eigentlich auch nicht gesagt, also hab ich nichts verwechselt :)

AW: Einem Herausgeber immer vertrauen
 

nicht du! :)

AW: Einem Herausgeber immer vertrauen
 

Nö, das hat leider keine Auswirkungen. Hat ja auch nix mit dem Internet zu tun. Ist ein Novell-Laufwerk.

Ich hab mal die Meldung angehangen.
Was mir da fehlt, ist die Checkbox "Programmen von 'Bremer System' immer vertrauen".
Aber das wäre ja zu einfach. Deshalb suche ich diese Eintragsmöglichkeit ja an anderer Stelle, z.B. Registry?


Die Funktionalität dieser Box leuchtet mir sowieso nicht so ganz ein. Ich starte ein Programm, und muss Windows erstmal bestätigen, dass ich das auch wirklich will?! Weil ich nicht weiß, was ich da tue? Microsoft hält offensichtlich alle Kunden für grenzdebil. Und das in gewisser Weise wohl zu Recht, denn sonst hätte man ja kein Windows...

AW: Einem Herausgeber immer vertrauen
 

Das sind ganz "normale" Delphi-Programme. Fordern denn Delphi-Programme grundsätzlich Admin-Rechte an?

AW: Einem Herausgeber immer vertrauen
 

Einstellungen im IE wirken sich auch im Intranetbereich (Zugriff auf Netzwerklaufwerk/CD-Rom) aus.

AW: Einem Herausgeber immer vertrauen
 

Ok, in diesem Fall aber leider nicht. Oder muss ich erst das System neu starten?

AW: Einem Herausgeber immer vertrauen
 

Eigentlich nicht. Aber hast du es evtl. für die falsche Zone geändert? Was für ein Icon erscheint in der Statuszeile des Windows-Explorers wenn du auf dein Netzwerklaufwerk navigierst. Für diese Zone musst du die Einstellung ändern.

AW: Einem Herausgeber immer vertrauen
 

Ich habe es jetzt einmal für's Internet geändert und siehe da: Völlig unabhängig von irgendwelchen Signaturen starten plötzlich alle Programme vom (Novell-)Netz-Laufwerk ohne Nachfrage. Immerhin. Aber dies ist ja wieder das Kind mit dem Bade ausschütten, denn für's INTERNET ist die Nachfrage durchaus sinnvoll. Für Netzlaufwerke aber absolut nicht.

Wie bringe ich denn jetzt dem Windows den Unterschied zwischen Internet und Novell-Laufwerk bei?

AW: Einem Herausgeber immer vertrauen
 

Einfach in die Liste der Vertrauenswürtigen Sites hinzufügen (Button: "Sites" auf Seite "Seichterheit").

Dort dann "file://<Servernamen>" eingeben und schon klappts mit der Exe bzw. mit gemappten Serverlaufwerken.

AW: Einem Herausgeber immer vertrauen
 

Danke, super!


Ok, das hat jetzt zwar nix mehr mit Code-Signing zu tun, löst aber mein Problem zumindest so weit, dass diese Nachfragen nicht mehr kommen. Und es ist natürlich wieder das Übliche Vorgehen bei Windows - man hat immer das Gefühl, dass man rumtrixen und das System überlisten muss, anstatt dass einem bei den entsprechenden Stellen (in diesem Fall beim Warn-Dialog) mal ein einfacher Haken angeboten wird. Und signieren mit dem damit verbundenen Vertrauen wäre auch nett gewesen, ist aber nunmehr überflüssig. Auch wieder in Windows nur halbherzig und damit letztendlich unbrauchbar umgesetzt.