Все о подписи драйверов windows
Как известно в х64 битных платформах была введена процедура обязательной цифровой подписи всего того, что может попасть в ядро системы, а именно драйверов. О том, на сколько это эффективно и оправданно можно долго спорить, но только одно можно сказать точно — гимора разработчикам тут определенно добавилась, особенно тем, кто раньше никогда подписями не занимался.
Итак, прежде всего, я бы хотел выделить два типа сертификатов, которые я буду рассматривать в рамках данной статьи — тестовый и настоящий. Разница состоит в том, что настоящий сертификат подписан доверенным CA (Certification Authorities — доверенный издатель), типа VeriSign, GlobalSign ну или самим Microsoft, а тестовый подписан самопальным сертификатом типа от Васи Пупкина.
Тестовый сертификатКак вы уже наверное догадались, именно с помощью этого типа сертификата можно спокойно разрабатывать драйвер, не имея на руках настоящего, но все не так просто, прежде чем его использовать надо проделать некоторые унылые и мудреные мероприятия:
- Сгенерить сам сертификат и установить его. Это можно сделать с помощью тулзы makecert, например так:
Makecert -r -pe -ss PrivateCertStore -n «CN=TestCertforWDK» TestCert.cer
где
PrivateCertStore — название хранилища
TestCertforWDK — название самого сертификата
TestCert.cer — имя файла с сертификатом
(эта тулза входит в комплект WDK 6000/6001 и расположена bin/SelfSign, в WDK 7600 она почему то не входит. ) - Добавить этот сертификат в хранилище с доверенным корневыми CA. Открываем в mmc консоль Сертификаты (Run->mmc->File->Add/Remove Snap-in->Certificates) там находим свой сертификат (например в хранилище PrivateCertStore), копируем его в доверенные корневые издатели (Trusted Root Certification Authorities).
- Разрешить тестовые подписи. Для этого прописываем в администраторской консоли:
bcdedit.exe –set TESTSIGNING ON
и перезагружаемся, в итоге на десктопе, после перезагрузки, по углам красоваться соответствующие надписи.
Все ответы
Да, каждый раз.Пинайте изготовителя оборудования, пусть купит сертификат и подпишет драйверы. На мой взгляд, для любого изготовителя железа несколько сотен долларов в год — не деньги.
Делается это через командную строку, запущенную от имени администратора, командой bcdedit -set loadoptions DDISABLE_INTEGRITY_CHECKS
Захотите убрать — выполните команду bcdedit -deletevalue loadoptions
Отключение(включение) проверки возможно лишь в 32-разрядной ОС (по умолчанию она отключена). В 64-разрядной ОС проверку можно отключить лишь временно, до следующей перезагрузки ПК(во время загрузкиперезагрузки ПК нажать F8 и в появившемся меню выбрать соответствующий пункт).То же действие допустимо и в 32-разрядной ОС.
В x64 делаете так: Выполнить gpedit.msc => Конфигурация_пользователя => Административные_шаблоны => Система => Установка_драйвера => Цифровая_подпись_драйверов_устройств => Поставить в Отключено. Всё. Никакого гемороя нет. И никаких подписей не нужно, маразм это.
Либо путем подписания драйверов — например:1. Скачиваем программу: Driver Signature Enforcement Overrider v1.22. Отключаем Контроль учетных записей пользователей (UAC). 3. Запускаем программу. 4. Включаем тестовый режим, установив переключатель в положение «Enable Test Mode».
Кстати, здесь же предусмотренно обратное действие «Disable Test Mode», отключающее тестовый режим. 5. Выпишите список драйверов (их полный путь и название)для своего устройства. Для этого следует зайти в «Свойства системы» — «Диспетчер устройств» найти там устройство с «проблемным» драйвером и посмотреть сведения о драйверах. 5.
Переписываем папки с драйверами в отдельный каталог и добавляем подписи для непроверенных системных файлов. Для этого выберите «Sign a System File» и введите имя файла, включая полный путь. Например, если файл драйвера ATITool64.sys расположен в каталоге C:
WindowsSystem32Drivers, то вам необходимо указать C:WindowsSystem32DriversATITool64.sys. В случае если необходимо подписать несколько файлов, то просто повторяем эту процедуру несколько раз. Но настоятельно рекомендую делать это в отдельной папке и потом ставить драйвер, а не в System 32.5. Перезагружаем компьютер.
Конечно, перед этим рекомендую пнуть сюппорт производителя, путем написания официального письма для официального ответа про отсутствие поддержки Vista x64 или Win7 x64 (у них драйвера пересекаются часто).
- Предложено в качестве ответа Vinokurov Yuriy Moderator 16 ноября 2009 г. 10:59
- Помечено в качестве ответа Vinokurov Yuriy Moderator 1 декабря 2009 г. 9:34
В x64 делаете так: Выполнить gpedit.msc => Конфигурация_пользователя => Административные_шаблоны => Система => Установка_драйвера => Цифровая_подпись_драйверов_устройств => Поставить в Отключено.
Всё. Никакого гемороя нет. И никаких подписей не нужно, маразм это.
Либо путем подписания драйверов — например:
1. Скачиваем программу: Driver Signature Enforcement Overrider v1.2
2. Отключаем Контроль учетных записей пользователей (UAC).
3. Запускаем программу.
4. Включаем тестовый режим, установив переключатель в положение «Enable Test Mode». Кстати, здесь же предусмотренно обратное действие «Disable Test Mode», отключающее тестовый режим.
5. Выпишите список драйверов (их полный путь и название)для своего устройства. Для этого следует зайти в «Свойства системы» — «Диспетчер устройств» найти там устройство с «проблемным» драйвером и посмотреть сведения о драйверах.
5. Переписываем папки с драйверами в отдельный каталог и добавляем подписи для непроверенных системных файлов. Для этого выберите «Sign a System File» и введите имя файла, включая полный путь. Например, если файл драйвера ATITool64.sys расположен в каталоге C:WindowsSystem32Drivers, то вам необходимо указать C:WindowsSystem32DriversATITool64.sys. В случае если необходимо подписать несколько файлов, то просто повторяем эту процедуру несколько раз. Но настоятельно рекомендую делать это в отдельной папке и потом ставить драйвер, а не в System 32.
5. Перезагружаем компьютер.
Конечно, перед этим рекомендую пнуть сюппорт производителя, путем написания официального письма для официального ответа про отсутствие поддержки Vista x64 или Win7 x64 (у них драйвера пересекаются часто).
Проблема с драйвером USB web-камеры Media-Tech 4016, в политиках пробовал «отключено» или «включено» параметр «игнорировать» эффекта ноль, при загрузке через F8 драйвер установился устройство работает нормально.
Есть предложения какие ещё могут быть варианты?
Как отключить проверку цифровой подписи драйверов windows 10
Убрать проверку цифровой подписи драйверов на Windows 10 можно через параметры системы. Для этого необходимо выполнить следующую пошаговую инструкцию:
- Открыть меню «Пуск» (кнопка в нижнем правом углу с логотипом операционной системы );
- Выбрать пункт «Параметры» ;
- Перейти в раздел «Обновления и безопасность»;
- Перейти в подраздел «Восстановление» в боковом меню;
- Нажать кнопку «Перезагрузить сейчас» в особых вариантах загрузки;
- В процессе перезагрузки необходимо выбрать пункт «Поиск и устранение неисправностей» в окне «Выбор действия»;
- Перейти в «Дополнительные параметры» в окне «Диагностика»;
- Нажать «Посмотреть другие варианты восстановления»;
- Выбрать пункт «Параметры загрузки»;
- Нажать кнопку «Перезагрузить»;
- После повторной перезагрузки необходимо нажать F7, или другую клавишу F*, которая соответствует номеру с пунктом «Отключить обязательную проверку подписи драйверов».
После проделанной операции, пользователь может установить неподписанный драйвер. Однако стоит учесть, что данный способ разово отключает проверку драйверов и может возникнуть проблема, в результате которой драйвер слетит. В таком случае придется повторить операцию или воспользоваться вариантом, описанным в начале статьи.
Как проверить наличие цифровой подписи драйверов и важных системных файлов в windows 10 | белые окошки
Во всех современных версиях Windows важные системные файлы и драйвера имеют цифровую подпись, гарантирующую их оригинальность и целостность. Кроме того, использование цифровых подписей позволяет быстро находить неподписанные драйвера и поврежденные или модифицированные файлы системы. В Windows 10 отыскать их можно с помощью специальной встроенной утилиты sigverif.exe. Работа с ней не представляет сложностей.
Откройте окошко Run (Win R) или командную строку и выполните в ней команду sigverif.exe.
В открывшемся окошке «Проверка подписи файла» нажмите кнопку «Начать», Чтобы приступить к сканированию немедленно.
Или кнопку «Дополнительно», чтобы изменить параметры сохранения журнала.
Процедура сканирования занимает меньше минуты.
После ее завершения.
Вам нужно будет открыть файл лога SIGVERIF.TХT непосредственно из окошка дополнительных параметров или перейдя в расположение C:UsersPublicDocuments, где он и обретается.
Содержимое журнала будет представлено краткими сведениями об операционной системе и списком проверенных файлов с указанием статуса (подписано/не подписано), даты установки, версии и каталога.
Что делать, если в логе обнаружены неподписанные системные файлы?
В этом случае рекомендуется выполнить проверку на предмет поврежденных или модифицированных файлов командой sfc /scannow.
Что касается неподписанных драйверов, далеко не всегда они указывают на проблему.
Есть немало устройств, поставляемых с неподписанными драйверами из коробки и, чтобы иметь возможность работать с устройством в Windows, может даже потребоваться принудительное отключение проверки цифровых подписей в системе.
Ответы
В x64 делаете так: Выполнить gpedit.msc => Конфигурация_пользователя => Административные_шаблоны => Система => Установка_драйвера => Цифровая_подпись_драйверов_устройств => Поставить в Отключено. Всё. Никакого гемороя нет. И никаких подписей не нужно, маразм это.
Либо путем подписания драйверов — например:1. Скачиваем программу: Driver Signature Enforcement Overrider v1.22. Отключаем Контроль учетных записей пользователей (UAC). 3. Запускаем программу. 4. Включаем тестовый режим, установив переключатель в положение «Enable Test Mode».
Кстати, здесь же предусмотренно обратное действие «Disable Test Mode», отключающее тестовый режим. 5. Выпишите список драйверов (их полный путь и название)для своего устройства. Для этого следует зайти в «Свойства системы» — «Диспетчер устройств» найти там устройство с «проблемным» драйвером и посмотреть сведения о драйверах. 5.
Переписываем папки с драйверами в отдельный каталог и добавляем подписи для непроверенных системных файлов. Для этого выберите «Sign a System File» и введите имя файла, включая полный путь. Например, если файл драйвера ATITool64.sys расположен в каталоге C:
WindowsSystem32Drivers, то вам необходимо указать C:WindowsSystem32DriversATITool64.sys. В случае если необходимо подписать несколько файлов, то просто повторяем эту процедуру несколько раз. Но настоятельно рекомендую делать это в отдельной папке и потом ставить драйвер, а не в System 32.5. Перезагружаем компьютер.
Конечно, перед этим рекомендую пнуть сюппорт производителя, путем написания официального письма для официального ответа про отсутствие поддержки Vista x64 или Win7 x64 (у них драйвера пересекаются часто).
- Предложено в качестве ответа Vinokurov Yuriy Moderator 16 ноября 2009 г. 10:59
- Помечено в качестве ответа Vinokurov Yuriy Moderator 1 декабря 2009 г. 9:34
С помощью «редактора локальной групповой политики»
Этот метод подойдёт вам, только если у вас стоит вариант «десятки» Professional или Enterprise. Для домашней версии мера не подойдёт, так как в интерфейсе «операционки» будет просто отсутствовать нужный нам редактор. Опишем процедуру:
- Вызываем небольшую панель «Выполнить» на экран за счёт кнопок R и «Виндовс» (зажимаем их одновременно). Выполняем формулу gpedit.msc в меню (после ввода кликаем по ОК).
- В центральной части окна или на левой панели редактора открываем раздел с конфигурациями юзера.
- Переходим в третий раздел с перечнем административных шаблонов.
- Переключаемся на блок, посвящённый системе, и запускаем последний каталог в списке «Установка драйвера».
- Кликаем дважды по первому пункту, касающегося цифровой подписи «дров».
- В новом окне, скорее всего, у вас будет стоять значение «Не задано». Это будет означать, что по умолчанию проверка работает. Деактивировать сканирование можно двумя способами здесь. Жмём на значение «Включено», но при этом в выпавшем меню внизу выбираем пропуск в качестве действия. Кликаем по «Применить» и ОК для сохранения настроек.
- Второй вариант — ставим значение «Отключено». Так же нажимаем на кнопку для применения.
- Перезагружаем устройство, чтобы все внесённые изменения окончательно вступили в силу. Ставим на ПК «дрова».
С помощью командной строки
Этот способ должен отключить проверку цифровой подписи драйверов навсегда — с использованием командной строки для редактирования параметров загрузки. Ограничения способа: у вас либо должен быть компьютер с BIOS, либо, если у вас UEFI, требуется отключить Secure Boot (это обязательно). К сожалению, в последних версиях Windows 10 описываемое обычно не срабатывает, но попробовать можно.
Действия следующие — запустите командную строку Windows 10 от имени администратора (Как запустить командную строку от имени администратора). В командной строке по порядку введите следующие две команды:
- bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS
- bcdedit.exe -set TESTSIGNING ON
После того, как обе команды будут выполнены, закройте командную строку и перезагрузите компьютер. Проверка цифровых подписей будет отключена, с одним лишь нюансом: в правом нижнем углу вы будете наблюдать уведомление о том, что Windows 10 работает в тестовом режиме (чтобы убрать надпись и вновь включить проверку, введите в командной строке bcdedit.exe -set TESTSIGNING OFF).
И еще один вариант отключения проверки подписи с помощью bcdedit, который по некоторым отзывам срабатывает лучше (проверка не включается снова автоматически при следующих загрузка Windows 10):
- Загрузить компьютер в безопасном режиме (см. Как зайти в безопасный режим Windows 10).
- Открыть командную строку от имени администратора и ввести следующую команду (нажав Enter после нее).
- bcdedit.exe /set NOINTEGRITYCHECKS ON
- Перезагрузить Windows 10 в обычном режиме.
В дальнейшем, если требуется снова включить проверку, сделайте это тем же способом, но вместо on в команде используйте off.