Ende 2021 hat Microsoft in den verschiedenen Versionen des Windows-Betriebssystems Funktionen für Azure Code Signing (ACS) Requirements eingeführt. Microsoft macht diese ACS Requirements jetzt auf Windows-Plattformen für Endpoint-Protection-Anbieter zur Pflicht. Die kommenden Releases von Sophos Intercept X und Intercept X for Server werden die ACS Requirements erfüllen.
Diese Änderung hat bei Sophos Kunden keine Auswirkungen, wenn regelmäßig Windows-Updates auf Endpoints und Servern installiert werden. Aber neue Installationen und Updates lassen sich eventuell nicht aufspielen, wenn das Windows-Gerät mit einer Windows-Version läuft, die nicht die ACS Requirements erfüllt. Dies ist ersichtlich durch folgende Fehlermeldungen.
Azure Code Signing Fehler im Sophos Endpoint Protection Installer
Azure Code Signing is not supported
This version of Windows does not supprt Azure Code Signing. Update your computer before installation. See Sophos KB-000045019.
Azure Code Signing Fehler im Silent Mode
Setup program failed with code: 1
Das SophosCloudInstaller_*.log enthält dann die folgenden Einträge:
ERROR : System Check name : AzureCodeSigning
ERROR : System Check : This version of Windows does not support Azure Code Signing. Update your computer before installation. See Microsoft KB5022661.
Empfehlungen von Sophos und Schritte zur Behebung
Wenn Sie eine Windows-Version einsetzen, für die Microsoft kein ACS-Update bereitgestellt hat, müssen Sie auf eine unterstützte Windows-Version migrieren und sicherstellen, dass die Sicherheitsupdates zur Unterstützung von ACS installiert wurden.
Wenn Sie eine Windows-Version verwenden, die nicht mehr von Sophos unterstützt wird (siehe Sophos Endpoint and Server Protection: Früher unterstützte Plattformen und Betriebssysteme), für die jedoch ein ACS-Patch verfügbar ist, kann der Patch angewendet werden, um dieses Problem zu umgehen. Kunden sollten jedoch auf eine unterstützte Windows-Version migrieren und sicherstellen, dass die Sicherheitsupdates zur Unterstützung von ACS installiert wurden.
Wenn Sie eine unterstützte Windows-Version verwenden, müssen Sie sicherstellen, dass die Updates zur Unterstützung von ACS eingespielt wurden.
Auf allen Windows-Betriebssystemen muss die Zertifizierungsstelle (CA) "Microsoft Identity Verification Root Certificate Authority 2020" im Zertifikatsspeicher des "Lokalen Computers" unter "Vertrauenswürdige Stammzertifizierungsstellen" installiert sein.
Weitere Informationen finden Sie im offiziellen Sophos Knowledgebase Artikel KBA-000008310.