MTE erklärt: Die Verwendung des Eintrags "Published by" von Software-Installern
Das Installieren von Software auf den meisten modernen Betriebssystemen ist so einfach geworden, dass Sie es wahrscheinlich im Schlaf tun könnten. Infolgedessen fliegen viele Leute durch den Installationsprozess und übersehen Elemente des Prozesses.
Das Fenster, das Sie zum Ausführen des Installationsprogramms auffordert, ist einer dieser Aspekte, die Sie leicht übersehen können. Auf einen Blick enthält es nichts, was Ihnen nicht bewusst ist - aber es könnte. Eine einzelne Textzeile macht das Fenster einen zweiten Blick wert, und es ist die "Signatur".
Installateure sind nicht im traditionellen Sinne wie ein juristisches Dokument, aber einige sind auf ihre eigene Weise unterzeichnet. Wenn Sie das schon einmal gesehen haben und sich gefragt haben, oder wenn Sie bis jetzt nicht viel beachtet haben, dann erklären wir Ihnen, was gerade vor sich geht.
Warum?
Microsoft geht davon aus, dass das Signieren von Software-Installern Programme hervorheben kann, die manipuliert wurden. Wenn sie unterschrieben sind, ist klar, wo sie herkommen, und etwaige Probleme können, wenn nötig, auf die Entwickler angewendet werden.
Sorgenfreiheit kann auch als ein Grund angesehen werden, da viele Benutzer komfortabler sein werden, wenn sie Software von einem erkennbaren Unternehmen oder Entwickler installieren. Der Mozilla Firefox Webbrowser ist von der Mozilla Corporation abgemeldet, was sinnvoll und legitim ist. "Unknown" nicht.
Wie?
Microsofts Tool zum Signieren von Software-Installern, das imaginär als "SignTool.exe" bezeichnet wird, funktioniert mit einer Vielzahl von Dateien, einschließlich .exe und .msi-Installern. Wenn Sie sich nicht über die Unterschiede in diesen beiden Installationsformaten im Klaren sind, haben wir diese in einem kürzlich erschienenen Artikel behandelt.
SignTool.exe funktioniert zwar als eigenständige Software, aber die eigene Website von Microsoft demonstriert die Verwendung mit einer Visual Studio-Eingabeaufforderung und einem bereits vorhandenen Signaturzertifikat. Das Zertifikat wird nicht durch einen anderen Visual Studio-Befehl generiert und erfordert weitere Schritte.
Wenn Sie Visual Basic nicht verwenden, benötigen Sie weiterhin ein Codesignaturzertifikat neben Microsoft SignTool.exe. Unternehmen, die in dieser von Microsoft verwalteten Liste aufgeführt sind, stellen Zertifikate im Standard- oder Extended Validation (EV) -Format bereit, die in Verbindung mit einem Microsoft Dev Center-Konto verwendet werden können. Bestimmte Aktionen erfordern ein EV-Zertifikat, obwohl die Mehrheit mit einem Standardzertifikat ausgeführt werden kann.
Ein Standardzertifikat erfordert kürzere Bearbeitungszeiten und kostet daher weniger. Das Niveau der Identitätsüberprüfung ist nicht so hoch wie das eines EV-Zertifikats und es unterstützt keine LSA- oder UEFI-Codesignierung, wie von Microsoft angegeben.
Nachdem Sie sich für einen Zertifikatstyp entschieden haben, benötigt das Unternehmen einige Ihrer Informationen, z. B. einen Lichtbildausweis und Dokumente mit Ihrem Namen. Zertifikate werden nicht frei ausgegeben, und Anträge eines Unternehmens benötigen möglicherweise Kontoauszüge oder andere Dokumente, die normalerweise nicht öffentlich zugänglich sind.
Nach Erhalt des Zertifikats können Entwickler damit beginnen, Installateure zu unterschreiben und ihren Produkten mehr Legitimität zu verleihen.
Fazit
Wie Sie gesehen haben, gibt es noch einige weitere Schritte, um diese einzelne Textzeile zu erhalten, als es auf den ersten Blick scheint. Viele Programme werden immer noch verteilt, ohne dass ihr Code auf diese Weise signiert wird, ohne dass der PC gefährdet wird, und es besteht kein Grund zu der Vermutung, dass Programme, denen ein Zertifikat fehlt, nicht in Ordnung sind.
Es ist keine schlechte Sache, den Verwendungszweck von Herausgebernamen in Softwarewarnungen zu kennen. Menschen sollten dazu ermutigt werden, sich mehr bewusst zu sein, was sie auf ihren Computern installieren möchten. Wenn etwas nicht stimmt, zahlt es sich aus, viel vorsichtiger zu sein.