Installation Kernel-Mode-Treiber
 

Hallo,

ich habe ein Problem, für das ich keine Lösung finde.

Ich vertreibe eine Software, die einen USB-Kernel-Mode-Treiber benötigt.
Unter Windows 7 64 bit müssen alle Kernel-Mode-Treiber signiert sein (wenn man keine Tricks anwenden will, wozu man keinen Kunden überreden kann).

Ich habe ein Zertifikat bei Verisign gekauft und alle Schritte durchgeführt, die in "Kernel-Mode Code Signing Walkthrough" auf http://msdn.microsoft.com/en-us/wind...dware/gg487328 beschrieben sind.

Es funktioniert alles, der Treiber wird installiert und man kann damit arbeiten.

Mein Kunde moniert allerdings, dass beim Setup dieses Fenster noch angezeigt wird (->Anhang). Laut Dokument "Code-Signing Best Practices" erscheint dieses Fenster bei Herausgebern mit unbekanntem Trust Level.

Nun meine Frage: Hat jemand eine Ahnung, wie ich dieses Fenster unterdrücken kann? Ich habe schon versucht, dass Zertifikat vorm Installieren des Treibers in den Store 'TrustedPublisher' zu laden, was mir nicht gelungen ist.

Danke,

Lutz

AW: Installation Kernel-Mode-Treiber
 

Ich glaube dafür brauchst du eine WHQL Zertifizierung:
http://de.wikipedia.org/wiki/WHQL

AW: Installation Kernel-Mode-Treiber
 

Für mich erscheint das vollkommen logisch, dass das Fenster erscheint.
So hat der Benutzer die Möglichkeit nachzuprüfen, wessen Treiber da gerade installiert wird.
Wäre das nicht so, dann könnte ja jeder ein Zertifikat bei Verisign kaufen und dem Benutzer gefährliche Rootkits unterjubeln.
Erst wenn ein Microsoft deinen Treiber geprüft und bestätigt hat, dass der Treiber alle Anforderungen erfüllt kann das zusätzliche Fenster unterbleiben.
Siehe: WHQL
Pro Einreichung eines Treibers kostet das pro Betriebssystem $250. (auch dann wenn dein Treiber beim Test durchfällt)
Man kann also mit Kosten im 4-stelligen Bereich rechnen.

AW: Installation Kernel-Mode-Treiber
 

Danke für die Antworten,

Lutz

AW: Installation Kernel-Mode-Treiber
 

Das "Fenster" erscheint auch bei vielen namhaften Herstellern, die (wahrscheinlich) wesentlich grösser sind als Ihr Ingenieurbüro (verzeiht, wenn ich falsch liegen sollte).
Aber, wo ist hier das Problem? Dass der Kunde bestätigen muss, dass er einen Treiber von einem bekannten, angezeigten und signierten Herausgeber installiert, von dem er wahrscheinlich sogar den Namen kennt, sonst würde er die Software wohl kaum installieren?
Die Paranoia schlägt wohl um sich...für mich, pardon, eher eine Anzeige, dass der Auftraggeber eher unwissend ist und jegliches PopUp als "evil" deklariert, sei es noch so aussagekräftig.
In der "normalen" Welt der Endanwender würde so ein Fenster eher Vertrauen erwecken als Misstrauen, das wiederum eher dann zündet, wenn ein Programm ungefragt etwas installiert.
Für mich wäre das ein klarer Fall dafür, dem Auftraggeber klarzustellen, dass dies keine Verunsicherung / Sicherheitsrisiko birgt. Du bist als signierter Herausgeber eindeutig identifizierbar. Was will man mehr?

AW: Installation Kernel-Mode-Treiber
 

Eine Signatur läßt soein Fenster zumindestens "freundlicher" aussehn.

AW: Installation Kernel-Mode-Treiber
 

Ein "richtiger" Anwender drückt sowieso immer ok bzw. Ausführen, egal was steht, hauptsache es geht 8-)

AW: Installation Kernel-Mode-Treiber
 

Das Problem besteht darin, dass die Installation automatisch ohne Nutzereingriff ablaufen soll und dabei das Popup-Fenster stört.

Lutz

AW: Installation Kernel-Mode-Treiber
 

Wenn das ginge könnte man dem Benutzer ja ohne sein Wissen einen bösartigen Treiber unterschieben. Und das würde ich für eine ziemliche Sicherheitslücke halte.

AW: Installation Kernel-Mode-Treiber
 

Was für einen USB-Treiber benutzt ihr denn? Wir setzen den FT232R von der Firma FTDI ein und die liefern einen vollständig implementierten Treiber mit. Da wir da aber einige Änderungen daran vorgenommen haben, mussten wir den auch neu signieren. Dazu haben wir von FTDI auf der Microsoft WHQL-Seite sogenannte Resellerrechte übertragen bekommen und konnten diesen so mit geringem Aufwand wieder gemäß WHQL zertifieren.

Grüße