Salu,

ich möchte mir die Tage Vista Ultimate holen. Eigentlich stand für mich schon fest, daß ich die 64 bit Version nehme.
Jetzt hat mich ein Kollege aber doch etwas verunsichert und deshalb hab ich einige Fragen:

1. Stimmt es, daß ich unter der 64 bit Version nur noch Hardware nutzen kann für die es WHQL zertifizierte Treiber gibt?
2. Stimmt es, daß Programme wie z.B. Daemon-Tools, Alkohol oder Virtual Clone Drive unter der 64 bit Version nicht laufen?

Desweiteren würde es mich interessieren, ob es noch weitere Gründe gibt, die gegen ein 64 bit Vista sprechen.


Gruß, der Digge

1. Ja
2. Glaub schon. Man kann nur Programme nutzen, die auf 64 Bit System laufen und auch dafür Programmiert sind. (Sicher weiß ich es aber nicht)

Gründe die für 64 Bit sprechen sind sicher.
- mehr Ram (wenn man es den braucht)
- wird wohl die Zukunft sein

1. Ja
2. Glaub schon. Man kann nur Programme nutzen, die auf 64 Bit System laufen und auch dafür Programmiert sind. (Sicher weiß ich es aber nicht)

Gründe die für 64 Bit sprechen sind sicher.
- mehr Ram (wenn man es den braucht)
- wird wohl die Zukunft sein


1. Jein, es gehen von Haus aus nur Treiber mit Signatur. Lässt sich aber umgehen.
2. Nein, 32bit Software lässt sich problemlos ausführen. Nur Programme die entsprechende Treiber nachinstallieren (z.B. Daemontools 32bit) laufen nicht. Aber das ist egal da es von Daemontools eine 64bit Version gibt. :P

Nicht WHQL mit signierten Treibern verwechseln.
Signierte Treiber betrifft auch nur Kernel Mode Treiber.

1. Jein, es gehen von Haus aus nur Treiber mit Signatur. Lässt sich aber umgehen.Wie denn?
2. Nein, 32bit Software lässt sich problemlos ausführen. Nur Programme die entsprechende Treiber nachinstallieren (z.B. Daemontools 32bit) laufen nicht. Aber das ist egal da es von Daemontools eine 64bit Version gibt. :PÖh, stimmt! :rolleyes:

mit F8 starten

2. Nein, 32bit Software lässt sich problemlos ausführen. Nur Programme die entsprechende Treiber nachinstallieren (z.B. Daemontools 32bit) laufen nicht. Aber das ist egal da es von Daemontools eine 64bit Version gibt. :P

Stimmt! wusste doch, das ich nicht 100 pro richtig lag :D

Nicht WHQL mit signierten Treibern verwechseln.
Signierte Treiber betrifft auch nur Kernel Mode Treiber.

Was ist den der Unterschied?

mit F8 starten

oder im Bootloader hinterlegen (am einfachsten mit VistaBootPro (http://www.vistabootpro.org/))

Was ist den der Unterschied?
WHQL (Windows Hardware Quality Lab) ist ein Zertifikat von M$.
Signierte Treiber verfügen über ein Zertifikat von z.B. Verisign womit dann die Treiber signiert werden.
Das kostet 500,- $/Jahr.

WHQL ist ein Zertifikat
Signierte Treiber verfügen über ein Zertifikat


also das eine hat ein zertifikat und das andere hat ein anderes zertifikat?
das soll der unterschied sein?

also das eine hat ein zertifikat und das andere hat ein anderes zertifikat?
das soll der unterschied sein?
Ich zitiere mich mal selbst.
Laut c't 5/06 Seite 58 ist der Signierzwang nur für die x64 Vista Treiber und betrifft das 32Bit Vista nicht.

... Mal eben einen Treiber zu programmieren und in Betrieb zu nehmen, wird damit für weniger Betuchte deutlich schwieriger. Denn die notwendige Signatur kann nur erstellen, wer bei Verisign ein Zertifikat erworben hat. Und das kostet pro Jahr rund 500 US-Dollar. Freie Projekte, die Kernel-Komponenten für x64-Vista entwickeln wollen würden damit ausgebremst.
Die beliebten DT haben z.B. Kernel Mode Treiber.

oder im Bootloader hinterlegen (am einfachsten mit VistaBootPro (http://www.vistabootpro.org/))

Weisst Du wo (Boot.ini?) ich was manuell eintragen muss um mir das F8 Drücken zu ersparen?

Kannst du mit der bcdedit.exe bearbeiten, die boot.ini gibt es nicht mehr. Der Eintrag der gesetzt werden muss ist "nointegritychecks Yes" . Ich würde empfehlen VistaBootPro zu benutzen, wenn du nicht genau weißt was du da machst.

Kannst du mit der bcdedit.exe bearbeiten, die boot.ini gibt es nicht mehr. Der Eintrag der gesetzt werden muss ist "nointegritychecks Yes" . Ich würde empfehlen VistaBootPro zu benutzen, wenn du nicht genau weißt was du da machst.
Danke

Kannst du mit der bcdedit.exe bearbeiten, die boot.ini gibt es nicht mehr. Der Eintrag der gesetzt werden muss ist "nointegritychecks Yes" . Ich würde empfehlen VistaBootPro zu benutzen, wenn du nicht genau weißt was du da machst.Sicher dass das noch geht? Ich habe überall gelesen, dass es in der Final nicht mehr geht.

Sicher dass das noch geht? Ich habe überall gelesen, dass es in der Final nicht mehr geht.
Entweder ich habe etwas falsch gemacht oder es funktioniert tatsächlich nicht mehr. Habe bcdedit.exe als Admin geöffnet - Fenster öffnet sich aber nicht - keine Ahnung was ich falsch mache.

also das eine hat ein zertifikat und das andere hat ein anderes zertifikat?
das soll der unterschied sein?

Das Wort Zertifikat ist recht irreführend. Einmal bedeutet es eine Art "Aushängeschild/Gütesiegel" und dann in der Informatik gebräuchlich für einen öffentlichen Schlüssel eines kryptografischen Systems. Letzteres ist bei der 64Bit Vista Treiber Signierung gemeint.

Das WHQL Zertifikat kann nur Microsoft selbst einem Treiber nach vorheiger Prüfung hinzufügen.
Bei der Signierung für Vista x64 reicht ein Zertifikat von irgendwem, der sich vorher ein Zertifkat von Verisign hat ausstellen lassen.

Bei der Signierung für Vista x64 reicht ein Zertifikat von irgendwem, der sich vorher ein Zertifkat von Verisign hat ausstellen lassen.

Seit wann müssen die Zertifikate von Verisign sein?

Seit wann müssen die Zertifikate von Verisign sein?Es gehen auch wohl noch andere. "trusted certificate authority" ist der Begriff, den ich grade in den MS-Papern gefunden habe. Als Beispiel tauchte noch GTE auf.

Könnte man darüber das System nicht aushebeln, indem man sein eigenes Zertifikat hinzufügt und dann damit den Treiber signiert?

Könnte man darüber das System nicht aushebeln, indem man sein eigenes Zertifikat hinzufügt und dann damit den Treiber signiert?

Wieso aushebeln? Wenn du einen Treiber installierst - vollkommen egal mit welchem Zertifikat - musst du Admin sein. Der Sinn ist doch, dass während dem Betrieb als normaler Nutzer kein Kernel-Mode Treiber installiert werden kann oder gar Daten eines Kernel-Mode Treibers abgefangen/manipuliert werden. Microsoft wird sicherlich einen eigenen Zertifikats-Server haben, den sie den Entwicklern z.B. über MSDN mitliefern.

Wieso aushebeln? Wenn du einen Treiber installierst - vollkommen egal mit welchem Zertifikat - musst du Admin sein.Das war schon bei allen NT Betriebssystem so. Wenn das jeder User könnte wäre das ganze Rechtesystem in modernen Betriebssystem überflüssig
Der Sinn ist doch, dass während dem Betrieb als normaler Nutzer kein Kernel-Mode Treiber installiert werden kann oder gar Daten eines Kernel-Mode Treibers abgefangen/manipuliert werden. Das hat mit der eingeführten Zwangssignierung gar nichts zu tun. Ein normaler Nutzer konnte noch nie uneingeschränkt Kernelmodule installieren oder manipulieren.
Microsoft wird sicherlich einen eigenen Zertifikats-Server haben, den sie den Entwicklern z.B. über MSDN mitliefern.Mitliefern macht gar keinen Sinn, weil dann könnte ja jeder wieder alles selbst signieren, was das System ab absurdum führt.
Das Zertifkat zum Treiber signieren muss soweit ich es verstanden habe von einen einer anerkannten Stammzertifizierungsstelle (z.B. Verisign) ausgestellt werden.
Diese Stellen machen das aber nur gegen Kohle, da sie Zertifikate nur an Leute ausgeben, deren Identität vorher geprüft wurde.
Sie könnten höchstens per MSDN anbieten, dass sie Treiber zertifizieren. Glaube ich aber auch nicht dran. Zum Entwickeln kann man ja immer noch F8 drücken.

Sicher dass das noch geht? Ich habe überall gelesen, dass es in der Final nicht mehr geht.


Entweder ich habe etwas falsch gemacht oder es funktioniert tatsächlich nicht mehr. Habe bcdedit.exe als Admin geöffnet - Fenster öffnet sich aber nicht - keine Ahnung was ich falsch mache.

Doch geht schon noch, kann man auch weiterhin händisch erledigen:

Über alle Programme -> Zubehör -> rechtsklick auf Eingabeaufforderung und als Administrator ausführen -> bcdedit.exe /set oslnointegritychecks Yes

Selbst getestet.

Das war schon bei allen NT Betriebssystem so. Wenn das jeder User könnte wäre das ganze Rechtesystem in modernen Betriebssystem überflüssig


Natürlich war das so, aber genau so ist es, dass bisher jeder Hans-Wurst mit einem Admin Account unterwegs ist. Bei Vista ist das default mäßig nicht so, in der Hoffnung den Nutzer mit den neuen User-Rechten umzuerziehen. Aber du kannst natürlich trotzdem Kernel-Strukturen manipulieren, auch ohne Admin Rechte.


Das hat mit der eingeführten Zwangssignierung gar nichts zu tun. Ein normaler Nutzer konnte noch nie uneingeschränkt Kernelmodule installieren oder manipulieren.


Doch, denn normal sind die meisten Nutzer als Admin unterwegs.


Mitliefern macht gar keinen Sinn, weil dann könnte ja jeder wieder alles selbst signieren, was das System ab absurdum führt.


Es geht hier um ein "kryptografisches System". Es ist doch egal, ob das Zertifikat von Versisign ist oder nicht, sondern dass der Treiber mit einem öffentlichen Schlüssel signiert wird, damit die Kommunikation sicher abläuft. Und wenn der Nutzer unter Vista default mäßig nicht als Admin unterwegs ist, kann dann nichts mehr manipuliert werden. Wenn er allerdings als Admin unterwegs ist, wird es wohl dann vermutlich auch möglich sein, Treiber zu manipulieren. Aber es geht ja nicht nur um's Manipulieren, sondern dass eben durch den Identitäsnachweis bei der Treiberkommunikation die Quelle bei Fehlern genau identifiziert werden kann.


Das Zertifkat zum Treiber signieren muss soweit ich es verstanden habe von einen einer anerkannten Stammzertifizierungsstelle (z.B. Verisign) ausgestellt werden.


Glaube ich nicht, wieso auch? Wenn ich ein SSL Zertifikat haben will, brauche ich auch kein Verisign. Wozu auch? Du könntest genau so ein Verisign ZErtifikat faken/manipulieren. Genau so wird man das Treiber-Signierung System irgendwie aushebeln können unter bestimmten Umständen. Trotzdem ist es ein Schritt nach vorne.

Doch geht schon noch, kann man auch weiterhin händisch erledigen:

Über alle Programme -> Zubehör -> rechtsklick auf Eingabeaufforderung und als Administrator ausführen -> bcdedit.exe /set oslnointegritychecks Yes

Selbst getestet.Du kannst den Schalter im bcdedit zwar setzten, er bleibt aber für Kernel-Mode Treiber (wie z.B. für RMClock oder CrystalCPUID usw.) ohne Wirkung.

Mit normaler Nutzer meine ich den im Sinne der Betriebsystemrechteverwaltung. Nicht wie es bei vielen läuft.
Glaube ich nicht, wieso auch? Wenn ich ein SSL Zertifikat haben will, brauche ich auch kein Verisign. Wozu auch? Du könntest genau so ein Verisign ZErtifikat faken/manipulieren. Genau so wird man das Treiber-Signierung System irgendwie aushebeln können unter bestimmten Umständen. Trotzdem ist es ein Schritt nach vorne.Dann fake du mal das Verisignzertifikat und mach mit deinem eigenen Zertifkat eine Webseite auf. Da wird dich jeder Browser sofort drauf hinweisen, dass Zertifikat nicht überprüft werden kann.

Mit normaler Nutzer meine ich den im Sinne der Betriebsystemrechteverwaltung. Nicht wie es bei vielen läuft.
Dann fake du mal das Verisignzertifikat und mach mit deinem eigenen Zertifkat eine Webseite auf. Da wird dich jeder Browser sofort drauf hinweisen, dass Zertifikat nicht überprüft werden kann.

Du raffst es einfach nicht, was? Eine Organisation wie Versisign ist einfach dazu da den Herausgeber als vertrauenswürdig auszugeben. Nach dem Motto: "Schaut her, wir haben xyz auf Nieren geprüft und seine Angebote sind absolut vertrauenswürdig". DAS hat rein gar nichts mit der Technik und dem Sinn der kryptografischen Verschlüsselung zu tun. Und es ist schon oft vorgekommen, dass gefälschte Zertifikate im Umlauf waren.

Verisign überprüft erstmal nur die Identität. Der kann dann immer noch damit anfangen das Zertifikat zu missbrauchen.

Es geht doch darum, dass man die Treiber in 64 Bit Vista eben nicht mit einem beliebigen Zertifkat signieren kann, sondern es muss von einer anerkannten Zertifizierungsstelle kommen. Ohne es jetzt probiert zu haben wird dich Windows wohl nicht fragen ob du dem Zertifikat vertrauen willst, wenn es eben nicht von einer anerkannten Zertifizierungsstelle stammt.

Das schöne an Zertifikaten ist ja auch, dass falsche Zertifikate durch eine einfache Überprüfung erkannt werden.

Doch geht schon noch, kann man auch weiterhin händisch erledigen:

Über alle Programme -> Zubehör -> rechtsklick auf Eingabeaufforderung und als Administrator ausführen -> bcdedit.exe /set oslnointegritychecks Yes

Selbst getestet.
Habe das soeben getestet - hat leider nicht funktioniert - Kannst Du bitte für mich noch einmal checken ob sich irgendwo ein Schreibfehler in der Befehlszeile eingschlichen hat
Danke

Also ich habe keinen Schreibfehler entdeckt, setzt den Eintrag bei mir einwandfrei.

http://www.250kb.de/u/070130/j/t/47d1885a.jpg (http://www.250kb.de/u/070130/j/47d1885a.jpg)

Also ich habe keinen Schreibfehler entdeckt, setzt den Eintrag bei mir einwandfrei.

http://www.250kb.de/u/070130/j/t/47d1885a.jpg (http://www.250kb.de/u/070130/j/47d1885a.jpg)
Hallo
Benutzt du evtl. eine Beta oder RC Version von Vista ?
Ich habe die finale Vista x64 Version und da funktioniert das nicht.
Grüße Tomi

Hi,
ist natürlich keine Beta oder RC, ich habe die ganz normale deutsche Final.

http://www.250kb.de/u/070131/j/t/0360c809.jpg (http://www.250kb.de/u/070131/j/0360c809.jpg)

Hi,
ist natürlich keine Beta oder RC, ich habe die ganz normale deutsche Final.

http://www.250kb.de/u/070131/j/t/0360c809.jpg (http://www.250kb.de/u/070131/j/0360c809.jpg)
Hallo
Ah du hast eine Ultimate und ich eine Home Premium evtl. ist das ja so wie mit der gpedit von XP die es auch nur unter XP Pro gab, evtl. und sogar wahrscheinlich gibt es jetzt die bcdedit nur bei Vista Business und Vista Ultimate.
Grüße Tomi