Securepoint SSL VPN Client: Die Signatur des TAP-Treiber kann nicht überprüft werden

Seit Windows 10 21H1 kann es vorkommen, das der TAP-Treiber des Securepoint SSL VPN Clients nicht mehr startet. Die Fehlermeldung im Geräte-Manager lautet:

"Die digitale Signatur der für dieses Gerät erforderlichen Treiber kann nicht überprüft werden. Bei einer vor Kurzem durchgeführten Änderung an Hardware oder Software wurde möglicherweise eine Datei installiert, die falsch signiert oder beschädigt ist. Möglicherweise handelt es sich auch um schädliche Software einer unbekannten Quelle. (Code 52)"

Verantwortlich dafür ist zum einen der Umstand, das der TAP-Treiber bislang von Securepoint nochmal signiert wurde und zum anderen das Microsoft ab besagter Windows-Ausgabe “die Unterstützung für Root-Zertifikate mit Kernel-Mode-Signierung im Microsoft Trusted Root Programm eingestellt” hat.

Weiter heißt es dazu bei Securepoint im Wiki:

Damit haben Treiber mit cross-signed Zertifikaten ihren Vertrauensstatus verloren.

Zwar wurde der SSL VPN Client durch unser Patch-Management-System immer auf den aktuellen Stand gehalten, aber dennoch hatten wir dieses Problem nun bei einem Kunden mit seinem Lenovo-Notebook. Bevor es (weitere) Updates und einen Lösungsweg gab, wurde kurzerhand der TAP-Treiber aus dem OpenVPN Community-Installationspaket installiert. Das half leider immer nur bis zum nächsten Neustart, dann streikte die TAP-Schnittstelle erneut.

Selbst mit der aktuellsten Version des SSL VPN Clients kam es zu der genannten Fehlermeldung. Letztlich, so schien es, hing noch eine alte Treiber-Version oder irgendein (Installations-)Rest fest. Vom Securepoint Support gab es dann folgenden Lösungsvorschlag:

  • Den SSL-VPN Client deinstallieren.
  • Im Geräte-Manager alle TAP-Schnittstellen inkl. deren Treiber entfernen.
  • Im Ordner “C:\Windows\System32\drivers” prüfen, ob eine Datei “tap0901.sys ” vorhanden ist, falls ja diese entfernen.
  • Den Computer neu starten.
  • Die aktuelle Version des SSL-VPN Clients wie folgt installieren:
    msiexec /qn /i openvpn-client-installer-2.0.35.msi CWINVERSION=10

Tatsächlich fand sich trotz des entsprechend gesetzten Hakens beim Entfernen der TAP-Schnittstelle via Geräte-Manager eine entsprechende Treiber-Datei im Ordner, die eigentlich hätte gelöscht sein sollen.

Mit dem aufgezeigten Lösungsweg scheint der Bann gebrochen zu sein, das immer wieder bzw. spätestens nach dem Neustart der TAP-Treiber erneut streikt.

Vielen Dank an den Securepoint Support für die tolle Unterstützung!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.