Поддержка SHA-2 в Windows для установки продуктов для бизнеса «Лаборатории Касперского»

Как отключить проверку цифровой подписи драйвера.

На просторах Интернета можно найти описание нескольких способов отключения проверки цифровой подписи драйверов, как однократно, так и навсегда с использованием меню загрузчика и групповых политик. Однако надежным способом, обеспечивающим работоспособность драйвера без подписи является отключение проверки с помощью редактирования данных конфигурации загрузки (BCD – Boot Configuration Data) стандартной утилитой bcdedit.exe.

0 (обозначается как boot загрузка). Загрузка драйвера выполняется в самом начале загрузки перед инициализацией ядра. Например, драйвер дискового контроллера.

1 (обозначается как System, системный) Загрузка драйвера осуществляется подсистемой ввода/вывода во время инициализации ядра. В качестве примера можно взять драйвер последовательного порта.

2 ( обозначается как Auto, запускаемый автоматически). Драйвер или служба запускаются автоматически, независимо от действий пользователя и его регистрации в системе.

3 (обозначается как Load of Demand, загружаемый вручную). Драйвер или служба запускаются по мере возникновения потребности в их функционировании. Например, как Драйвер запоминающих устройств для USB.

4 ( обозначается как Disabled, отключено). Драйвер или служба отключены.

Вполне естественно, что для драйвера, имеющего параметр Start в реестре, равный 0 или 1, никакие групповые политики еще не могут быть применены, поскольку средства их применения еще не существуют в системе.

bcdedit.exe -set TESTSIGNING ON – отключить проверку цифровой подписи. Естественно, команда должна выполняться от имени Администратора. Действительна не только для Windows 7, но и Windows 8 / 10.

Для применения настройки потребуется перезагрузка Windows. После перезагрузки, в правой нижней части экрана будет отображаться предупреждение о том, что Windows работает в тестовом режиме. Проверка цифровых подписей драйверов выполняться не будет.

В тех случаях, когда приведенная выше команда не срабатывает, рекомендуется перед ее выполнением отключить параметры контроля целостности конфигурации:

:/>  Можно ли разогнать монитор и как это сделать | Мониторы | Блог | Клуб DNS

bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECK

Хотя, из личного опыта – команда не оказывает никакого влияния на поведение загрузчика Windows.

В начало страницы     |    
На главную страницу сайта

Как проверить наличие конкретных обновлений

Проверить наличие конкретных обновлений можно с помощью Панель управления – Программы и компоненты – Установленные обновления. А также по журналу обновлений в Центре обновления Windows или с помощью утилиты командной строки dism.exe:

dism /Online /Get-Packages

Или с выводом результатов в текстовый файл, например D:Get-Packages.txt:

dism /Online /Get-Packages > D:Get-Packages.txt

В текстовом файле Get-Packages.txt каждому установленному обновлению соответствует своя запись:

Удостоверение пакета : Package for KB4474419~ 31bf3856ad364e35 ~amd64~~6.1.3.2Состояние : УстановленТип выпуска : Security UpdateВремя установки : 16.03.2021 1:45В случае, когда обновление отсутствует, нужно установить его с использованием Центра обновления.

Самым простым способом установки обновлений для Windows 7, в том числе и на неподдерживаемом оборудовании – воспользоваться замечательным ресурсом simplix.info.
В разделе UpdatePack7R2 для обновления Windows 7 SP1 и Server 2008 R2 SP1 размещается постоянно обновляемый инструментарий для установки обновлений в рабочую систему или дистрибутив Windows 7 и Server 2008 R2, любого языка и архитектуры. Набор включает обновления для Internet Explorer 11, все критические, рекомендуемые и обновления безопасности.

В случае обнаружения проблем с установкой обновлений, автоматически выполняется дополнительная утилита WinRepair, устраняющая обнаруженные проблемы.

Как проверить наличие цифровой подписи у файла.

В операционных системах семейства Windows имеются стандартное средство проверки цифровых подписей системных файлов – утилита sigverif.exe. Используется для поиска системных файлов без цифровой подписи. Запустить ее можно через диалог Выполнить (комбинацию клавиш Win R) с правами Администратора системы.

После нажатия на кнопку Начать начнется проверка цифровых подписей системных файлов. Результаты проверки отображаются в окне программы:

:/>  Recuva скачать бесплатно русская версия для Windows

Более детальную информацию можно получить из файла журнала программы Sigverif.txt, который можно просмотреть в режиме Дополнительно

В данном конкретном случае, утилита обнаружила один неподписанный файл драйвера C:Windowssystem32 neo_0014.sys. Насколько это соответствует действительности, можно проверить с помощью другой системной утилиты verifier.exe, предназначенной для проверки работоспособности драйверов в Windows 7 / 8 10.

При запуске без параметров, утилита отображает окно Диспетчера проверки драйверов, где необходимо выбрать проверяемые драйверы. По умолчанию, выбираются драйверы без цифровой подписи. После нажатия кнопки Далее должен отобразиться их список. Но, в данном случае, таковых не обнаружено:

При чем, если выбрать файл вручную, утилита verifier.exe определяет драйвер neo_0014.sys как имеющий цифровую подпись.

В качестве дополнительного средства контроля цифровых подписей можно воспользоваться утилитой от Microfoft Sysinternals SigCheck.
Она имеет небольшой размер и не требует установки в системе. Просто разархивируйте загруженный по ссылке выше, файл в какой-либо каталог, лучше, присутствующий в путях поиска исполняемых файлов, определенных переменной окружения PATH и введите команду:

sigcheck C:Windowssystem32driversneo_0014.sys

Отобразится информация о цифровой подписи файла:

C:WindowsSystem32driversneo_0014.sys:Verified: SignedSigning date: 10:34 05.02.2022Publisher: SoftEther CorporationCompany: SoftEther CorporationDescription: SoftEther VPNProduct: SoftEther VPNProd version: 4, 25, 0, 9658File version: 4, 25, 0, 9658MachineType: 64-bit

В итоге, утилита sigchek определила, что файл драйвера neo_0014.sys имеет цифровую подпись SoftEther Corporation.

Таким образом, бывают случаи, когда подписанный цифровой подписью файл, может быть признан не имеющим подписи. Произойти это может по нескольким причинам, в том числе и внешним по отношению к текущей ОС Windows (например, временная невозможность выстроить цепочку сертификатов удостоверяющих центров по техническим причинам).

Однако, как упоминалось выше, в случаях с Windows 7 нужно обратить особое внимание на работоспособность средств поддержки алгоритма SHA-2, обеспечиваемой обновлениями Microsoft. Основным из них является kb4474419, однако не исключено, что со временем к нему добавится еще какое-нибудь новое.

:/>  Svchost.exe нагружает процессор и память. - Компьютер76 .

Поддержка sha-2 в windows для установки продуктов для бизнеса «лаборатории касперского»

Microsoft прекращает поддержку корневых сертификатов, которые позволяют подписывать код драйверов, работающий на уровне ядра операционной системы. Теперь для подписи драйверов используется подпись WHQL (Windows Hardware Quality Lab), в основе которой лежит алгоритм хеширования SHA-2 (SHA-256). Для проверки такой подписи необходима поддержка SHA-2 в операционной системе.

Если вы устанавливаете продукт для бизнеса «Лаборатории Касперского» на защищаемое устройство с операционной системой из таблицы ниже, убедитесь, что в ней установлены обновления, включающие поддержку SHA-2. Если поддержка SHA-2 отсутствует, установка будет прервана. Вы можете установить необходимые обновления и запустить установку заново.

В таблице приведен список поддерживаемых версий Windows, для которых необходимо наличие обновлений, включающих поддержку SHA-2:

Таблица не содержит обновления операционных систем с поддержкой SHA-2, которые могли быть выпущены после релизов указанных в статье продуктов для бизнеса «Лаборатории Касперского».

Оставьте комментарий

Adblock
detector