Раньше это был непростой процесс. Однако новый инструмент Microsoft может быстро сканировать вашу систему и сообщить вам, установлены ли какие-либо сертификаты, которым Microsoft обычно не доверяет. Это особенно хорошая идея, чтобы запустить это на новых компьютерах, чтобы проверить, открыты ли они для атаки из коробки.
Обновить: Инструмент sigcheck не работал на Windows 7 во время публикации, но Microsoft обновила этот инструмент, и теперь он должен корректно работать во всех версиях Windows. Поэтому, если вы не смогли заставить его работать раньше, попробуйте снова!
Как проверить
Для этого мы будем использовать инструмент Sigcheck, предоставленный Microsoft. Это часть набора инструментов SysInternals, который был обновлен этой функцией в начале 2016 года.
Для начала загрузите Sigcheck из Microsoft. Откройте загруженный.zip-файл и извлеките файл sigcheck.exe. Например, вы можете просто перетащить файл на рабочий стол.
sigcheck -tv
Sigcheck загрузит список доверенных сертификатов от Microsoft и сравнит их с сертификатами, установленными на вашем компьютере. Если на вашем компьютере есть какие-либо сертификаты, которые не входят в «Список доверия сертификатов Microsoft», вы увидите их здесь. Если все хорошо, и у вас нет каких-либо мошеннических сертификатов, вы увидите сообщение «Нет сертификатов найдено».
Помогите, я нашел плохой сертификат!
Если приложение sigcheck перечисляет один или несколько сертификатов после запуска команды, и вы не знаете, что это такое, вы можете попробовать выполнить поиск в Интернете для своих имен, чтобы узнать, что они собой представляют и как они там попали.
Удаление их вручную не обязательно является лучшей идеей. Если сертификат был установлен программой, запущенной на вашем компьютере, эта программа может просто переустановить сертификат после его удаления. Вы действительно хотите определить, какая программа вызывает проблему, и полностью избавиться от этой программы. Как вы это делаете, это зависит от программы. В идеале вы можете просто удалить его с панели управления «Удалить программу». Рекламные программы могут копать свои крючки и нужны специальные инструменты для очистки. Даже установленное производителем «законное» программное обеспечение, такое как Dell eDellRoot и Superfish, нуждалось в специальных инструментах удаления, которые вы должны были скачать, чтобы их удалить. Сделайте поиск в Интернете, чтобы лучше всего удалить точный сертификат, который вы видите, потому что идеальный метод будет отличаться для каждого из них.
Однако, если вы действительно хотите - или если вы не можете найти конкретные инструкции, вы можете удалить сертификат вручную с помощью консоли управления сертификатами Windows. Чтобы открыть его, выполните поиск «сертификатов» в меню «Пуск» или «Пуск» и нажмите ссылку «Управление сертификатами компьютера». Вы также можете нажать клавишу Windows + R, чтобы запустить диалог «Запуск», введите «certmgr.msc» в диалоговом окне «Запуск» и нажмите «Ввод».
Однако будьте осторожны: не удаляйте никаких законных сертификатов! Подавляющее большинство сертификатов здесь являются законными и частью самой Windows. Будьте осторожны при удалении сертификатов и убедитесь, что вы удаляете правильный.
До внесения изменений в инструмент sigcheck выше не было простого способа проверить наличие плохих сертификатов, которых там не должно быть. Было бы неплохо, если бы был более дружественный метод, чем команда Command Prompt, но это лучшее, что мы можем сделать сейчас.
Microsoft объявила, что будет бороться с программным обеспечением, которое ведет себя таким образом. Приложения, устанавливающие небезопасные корневые сертификаты для выполнения атак типа «человек в середине» - часто для рекламы, будут помечены Защитником Windows и другими инструментами и автоматически удаляются. Это должно немного помочь, когда будет обнаружен следующий установленный производителем сертификат.