Поиск недоверенных корневых сертификатов в хранилище сертификатов Windows

Пользователям Windows нужно уделять тщательное внимание сертификатам, которые установленных на компьютере. С помощью поддельных самоподписанных сертификатов, которые пользователь добавил в хранилище корневых сертификатов, злоумышленники могут осуществить атаки MiTM (man-in-the-middle), перехватывать трафик (в том числе HTTPS), разрешать запуск вредоносного ПО и скриптов и т.п.

🎓 Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и "под микроскопом" изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Для поиска сторонних недоверенных и поддельных сертификатов в хранилище сертификатов Windows, можно использовать утилиту sigcheck. Утилита позволяет сравнить список сертификатов, установленных на компьютере, со списком доверенных корневых центров сертификации, (Trusted Root Certification Authorities) который ведется компанией Microsoft в рамках Microsoft Trusted Root Certificate Program.

  1. Скачайте архив c утилитой Sigcheck (https://learn.microsoft.com/en-us/sysinternals/downloads/sigcheck) и распакуйте на локальный диск;
  2. Откройте командную строку и перейдите в каталог с утилитой:
    cd c:\tools\sigcheck
  3. Проверьте есть ли сторонние сертификаты в корневом хранилище Machine\root:
    sigcheck64.exe -tv root
    В данном примере утилита показала, что в корневом хранилище доверенных сертификатов компьютере есть два сторонних сертификата: DESKTOP-P2FHTKQ и Windows Admin Center sigcheck64.exe проверить хранилище сертфикатов windows
  4. Чтобы проверить все хранища сертификатов компьютера, выполните:

    .\sigcheck64.exe -tv *

  5. У пользователя могут быть установлены собственные сертификаты (это другое хранилище), отличное от системной. Следующая команда выведет все недоверенные сертификаты, установленные у пользователя (добавье параметр -u (user)):

    \sigcheck64.exe -tuv *

    Некоторый зловреды, которые не могут установить сертификат в системное хранилище, устанавливаются в хранилище сертификатов пользователя.

    sigcheck64.exe - сторонние сертификаты в хранилище пользователя

Утилита Sigcheck сравнивает список сертификатов установленных на компьютере со списком доверенных корневых сертификатов на сайте Microsoft и выводит только сертификаты, которые отсуствуют в этом списке. Если на компьютере отсустует прямое подключение к интернету, нужно вручную скачать файл authrootstl.cab со список корневых сертификаптов в формате Certification Trust List (http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab) и сохранить его в каталог с утилитой. Это позволит провести офлайн проверку хранилища.

В идеале, на компьютер должны отсуствовать сторонние сертификаты. Если в списке есть сертификаты, которые вы явно не устаналивали и не использовали, их нужно удалить.

На компьютерах, включенных в домен Windows, некоторые корневые сертификаты могут устаналиваться с помощью групповых полититик (обычно это корневые сертификаты внутреннего центра сертификации CA.

Удалить сертификат из хранилиза можно по его отпечатку (скопируйте Thumbrint сертификата из вывода sigcheck) с помощью команды:

certutil –delstore Root C17163D597E8A9F01F5E55679866C6C941540195

certutil - удалить сертификат по отпечатку thumbprint

Также можно удалить сертификат из оснастку управления сертификатами компьютера компьютера ( certlm.msc )или пользователя ( Certmgr.msc ).

Разверните контейнер Trusted Root Certification Authorities (Доверенные корневые центры сертификации) -> Certificates и удалите сертификаты, найденные утилитой SigCheck. удалить поддельный или сторонний сертификат из консоли управления сертификатами

В этом примере я удалил самоподписанный сертификат, созданный с помощью командлета New-SelfSignedCertificate, который я создавал для подписывания кода PowerShell скрипта.

Рекомендуем регулярно выполнить сканирование хранилища сертификатов Windows, особенно на OEM компьютерах с предустановленной ОС (производители компьютеров/ноутбуков часто добавляют свои корневые сертификаты).

🎓 Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и "под микроскопом" изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Предыдущая статья Следующая статья


Комментариев: 6 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)