- Что такое подписанный драйвер?
- Включение testsigning
- Зачем деактивировать проверку цифровой подписи драйверов в «десятке»
- Отключение проверки цифровой подписи драйверов windows 8 и 8.1
- Постоянное отключение принудительного применения подписи
- С помощью «редактора локальной групповой политики»
- Создаем самоподписанный сертификат и закрытый ключ
- Способ 2
- Установка драйвера, заверенного самоподписанным сертификатом
- Через загрузку пк в специальном режиме
- Через интерфейс «командной строки»
Что такое подписанный драйвер?
Подписанный драйвер — это драйвер устройства c цифровой подписью. Цифровая подпись — это электронная метка защиты, указывающая издателя программного обеспечения и изменения первоначального содержимого программного пакета драйвера. Если драйвер подписан издателем с подтверждением достоверности подписи центром сертификации, можно быть уверенным, что драйвер выпущен этим издателем и не подвергался изменениям.
Windows выдаст одно из следующих предупреждений: драйвер не подписан, достоверность подписи издателя не подтверждена центром сертификации, драйвер изменен с момента выпуска. MicroSoft
Коротко говоря если драйвер не был подписан компанией MicroSoft, то такой драйвер не будет иметь цифровой подписи драйверов для Windows. С таким драйвером и возникают проблемы при установке.
В данной статье рассмотрим как отключить проверку цифровой подписи драйверов в Windows 10, Windows 8 и 8.1, а также Windows 7.
Содержание:
- Отключение проверки подписи драйверов Windows 10
- Отключение проверки подписи драйверов Windows 8.1 / 8
- Отключение проверки подписи драйверов Windows 7
Включение testsigning
TESTSIGNING определяет, будет ли Windows устанавливать какой-либо тестовый подписанный код режима ядра, который не имеет цифровой подписи соответствующими компаниями-разработчиками программного обеспечения. Это еще одна надежная защита, которая действует как брандмауэр, предотвращая установку драйверов уровня ядра, если они не находятся в белом списке. Если вы действительно хотите установить драйвер, несмотря на меры безопасности Windows, вы можете включить TESTSIGNING.
- Нажмите Windows S, введите «командная строка«В диалоговом окне щелкните правой кнопкой мыши приложение и выберите«Запустить от имени администратора».
- В командной строке выполните следующую команду:
bcdedit / установить тестирование на
- Теперь перезагрузите компьютер правильно. После перезапуска снова войдите в систему и попробуйте установить драйвер.
- Если вы когда-нибудь захотите выключить тестовый режим, выполните следующую команду:
bcdedit / установить отключение тестов
Зачем деактивировать проверку цифровой подписи драйверов в «десятке»
Цифровая подпись представляет собой метку, зашитую в коде программы или драйвера. Она означает, что утилита лицензированная и безопасная — её со спокойной душой можно устанавливать на компьютере.
Разработчики «Виндовс» 10 включили в «операционку» сканирование на наличие такой подписи, которое запускается само при открытии файла-установщика ПО, ранее скачанного из интернета. По умолчанию проверка включена в системе, но вы можете её деактивировать, если, например, при установке драйвера появилось сообщение системы об отсутствии должной цифровой подписи.
Конечно, в сообщении присутствует опция «Установить этот драйвер всё равно», однако, даже если вы нажмёте на неё, «дрова» установятся с ошибками — в «Диспетчере устройств» в дальнейшем будет отображён восклицательный знак в жёлтом треугольнике, а само оборудование либо вовсе не будет функционировать, либо будет работать, но с частыми сбоями. В описании в диспетчере будет также значиться код ошибки 52.
Выключать проверку стоит только в том случае, если вы полностью уверены в безопасности данного ПО. Иначе вы рискуете безопасностью своего ПК и данных на нём — он может быть атакован вирусом, который скрывается в коде утилиты, или взломан хакерами.
Отключение проверки цифровой подписи драйверов windows 8 и 8.1
Аналогичным способом можно произвести загрузку Windows 8 и 8.1 без обязательной проверки цифровых подписей драйверов:
- Подвести курсор мыши к правому краю экрана;
- Выбрать опцию «Изменение параметров компьютера»;
- Нажать «Обновление и восстановление»;
- Перейти в «Восстановление»;
- Нажать «Перезагрузить сейчас»;
- В процессе перезагрузки выбрать раздел «Диагностика»;
- Затем — «Дополнительные параметры»;
- Выбрать «Параметры загрузки»;
- Нажать кнопку «Перезагрузить»;
- После повторной перезагрузки необходимо нажать F7, или другую клавишу F*, которая соответствует номеру с пунктом «Отключить обязательную проверку подписи драйверов».
Постоянное отключение принудительного применения подписи
Другой, который вы можете попробовать, если все вышеперечисленные методы не пройдут, — отключить принудительное отключение подписи драйверов на вашем компьютере. Вам нужно будет снова вручную включить механизм, и не будет никаких безопасных средств защиты для драйверов, установленных на вашем компьютере. Убедитесь, что вы используете этот метод в качестве последнего средства.
- Нажмите Windows R, введите «командная строка«В диалоговом окне щелкните правой кнопкой мыши приложение и выберите«Запустить от имени администратора».
- В командной строке выполните следующую команду:
bcdedit.exe / установить nointegritychecks на
Перезагрузите компьютер полностью и попробуйте установить драйвер.
- Если вы хотите снова включить механизм принудительного применения, выполните следующую команду:
bcdedit.exe / отключить nointegritychecks
Замечания: Обычно все проверенные и подлинные драйверы имеют цифровую подпись. Убедитесь, что вы полностью уверены в драйвере перед установкой.
С помощью «редактора локальной групповой политики»
Этот метод подойдёт вам, только если у вас стоит вариант «десятки» Professional или Enterprise. Для домашней версии мера не подойдёт, так как в интерфейсе «операционки» будет просто отсутствовать нужный нам редактор. Опишем процедуру:
- Вызываем небольшую панель «Выполнить» на экран за счёт кнопок R и «Виндовс» (зажимаем их одновременно). Выполняем формулу gpedit.msc в меню (после ввода кликаем по ОК).
- В центральной части окна или на левой панели редактора открываем раздел с конфигурациями юзера.
- Переходим в третий раздел с перечнем административных шаблонов.
- Переключаемся на блок, посвящённый системе, и запускаем последний каталог в списке «Установка драйвера».
- Кликаем дважды по первому пункту, касающегося цифровой подписи «дров».
- В новом окне, скорее всего, у вас будет стоять значение «Не задано». Это будет означать, что по умолчанию проверка работает. Деактивировать сканирование можно двумя способами здесь. Жмём на значение «Включено», но при этом в выпавшем меню внизу выбираем пропуск в качестве действия. Кликаем по «Применить» и ОК для сохранения настроек.
- Второй вариант — ставим значение «Отключено». Так же нажимаем на кнопку для применения.
- Перезагружаем устройство, чтобы все внесённые изменения окончательно вступили в силу. Ставим на ПК «дрова».
Создаем самоподписанный сертификат и закрытый ключ
https://www.youtube.com/watch?v=uT3PMP16MpI
Создадим в корне диска каталог C:DriverCert.
Откроем командную строку и перейдем в следующий каталог:
cd C:Program Files (x86)Microsoft SDKsWindowsv7.1bin
Создадим самоподписанный сертификат и закрытый ключ, выданный, допустим, для компании Winitpro:
makecert -r -sv C:DriverCertmyDrivers.pvk -n CN=”Winitpro” C:DriverCertMyDrivers.cer
Во время создания утилита попросит указать пароль для ключа, пусть это будет P@ss0wrd.
На основе созданного сертификата создадим публичный ключ для сертификата издателя ПО (PKCS).
cert2spc C:DriverCertmyDrivers.cer C:DriverCertmyDrivers.spc
Объединим публичный ключ (.spc) и персональный ключ (.pvk) в одном файле сертификата формата Personal Information Exchange (.pfx).
pvk2pfx -pvk C:DriverCertmyDrivers.pvk -pi P@ss0wrd -spc C:DriverCertmyDrivers.spc -pfx C:DriverCertmyDrivers.pfx -po P@ss0wrd
Совет. Несмотря на то, что сертификат имеет ограниченный срок действия, истечение срока действия сертификата CodeSigning означает, что вы не сможете создавать новые сигнатуры. Срок действия драйвера, уже подписанного этим сертификатом, бессрочен (либо старые сигнатуры действуют в течении указанного timestamp).
Способ 2
Вторая возможность устранить проведение цифровой подписи драйверов – это групповая политика. Активации функции производится через ввод выражения «gpedit.msc» которую требуется внести в поиск стартового меню Windows. Нажимаем кнопку «Пуск» и вводим в поле поиска «gpedit.msc».Когда вы удачно произвели запуск групповой политики, слева нужно открыть вкладку «Конфигурация пользователя», затем перейти по ссылке «Шаблоны администрации», «gpedit.msc».Когда вы удачно произвели запуск групповой политики, слева нужно открыть вкладку «Конфигурация пользователя», затем перейти по ссылке «Шаблоны администрации», найти параметр «Система» — инсталляция драйверов. Если в левом меню будет выбрана закладка «Установка драйверов» то справа можно заметить настройку отключения их подписи , которую нужно активировать двойным нажатием. Перед закрытием окна настроек обязательно сохраняем изменения и выходим из утилиты. Данный метод хорош, но, увы, функционирует не у всех.
Установка драйвера, заверенного самоподписанным сертификатом
Попробуем еще раз установить подписанный нами драйвер, выполнив команду:
Pnputil –i –a C:DriverCertxg20xg20gr.inf
Теперь в процессе установки драйвера, окна-предупреждения об отсутствующей цифровой подписи драйвера не появится.
Successfully installed the driver on a device on the system.Driver package added successfully.
В Windows 7 появляется такое предупреждение. о том, уверены ли вы, что хотите установить этот драйвер (в Windows 10 x64 1803 такое всплывающее окно не появляется). Нажав «Install», вы установите драйвер в системе.
Если по каким-то причинам драйвер не устанавливается, подробный лог установки драйвера содержится в файле C:Windowsinfsetupapi.dev.log. Этот лог позволит вам получить более подробную информацию об ошибке установки.
Если установка драйвера прошла успешно, в файле setupapi.dev.log будут примерно такие строки:
>>> [Device Install (DiInstallDriver) - C:WINDOWSSystem32DriverStoreFileRepositoryxg20gr.inf_amd64_c5955181485ee80axg20gr.inf] >>> Section start 2021/07/22 23:32:57.015 cmd: Pnputil -i -a c:DriverCertxgxg20gr.inf ndv: Flags: 0x00000000 ndv: INF path: C:WINDOWSSystem32DriverStoreFileRepositoryxg20gr.inf_amd64_c5955181485ee80axg20gr.inf inf: {SetupCopyOEMInf: C:WINDOWSSystem32DriverStoreFileRepositoryxg20gr.inf_amd64_c5955181485ee80axg20gr.inf} 23:32:57.046 inf: Copy style: 0x00000000 inf: Driver Store Path: C:WINDOWSSystem32DriverStoreFileRepositoryxg20gr.inf_amd64_c5955181485ee80axg20gr.inf inf: Published Inf Path: C:WINDOWSINFoem23.inf inf: {SetupCopyOEMInf exit (0x00000000)} 23:32:57.077 <<< Section end 2021/07/22 23:32:57.155 <<< [Exit status: SUCCESS]
Как вы видите, для установки самоподписанного драйвера нам даже не пришлось отключать проверку цифровой подписи драйверов с помощью bcdedit.exe, как описано здесь (команды bcdedit.exe /set loadoptions DISABLE_INTEGRITY_CHECKS и bcdedit.exe /set testsigning ON).
Через загрузку пк в специальном режиме
Деактивировать на время сканирование можно с помощью загрузки устройства в одном из специальных режимов. Метод отключит проверку только для текущего сеанса на ПК. Когда вы отключите и вновь включите девайс в следующий раз, он будет загружен в обычном стандартном режиме. Рассмотрим ход действий:
- Вызываем интерфейс с параметрами «операционки» через одновременное зажатие кнопок «Виндовс» и I. Если не получается открыть окно таким образом, перейдите в настройки через панель «Пуск» (шестерня под профилем в левой части меню).
- Переключаемся на блок, посвящённый безопасности и апдейту.
- В пятой вкладке для запуска восстановления жмём серую кнопку «Перезагрузить» в блоке особыми вариантами загрузки ОС.
- Теперь открываем меню «Диагностика», а следом за ним «Дополнительные параметры» и последний пункт с параметрами загрузки.
- В синем меню будет представлен перечень со специальными режимами запуска ПК. Нам необходим седьмой режим с выключением обязательной проверки подписи «дров». Смело жмём на функциональную клавишу F7, которая находится в верхней части «клавы».
- Ждём, когда «операционка» перезапустится с уже деактивированным сканированием. Устанавливаем неподписанные «дрова».
Через интерфейс «командной строки»
Быстрый способ отключения службы, отвечающую за сканирование подписей, — через стандартную консоль «Виндовс» «Командная строка»:
- Консоль должна быть запущена с расширенными правами администратора. Вбиваем на панели «Поиск» (справа от «Пуска») запрос cmd.
- Кликаем по приложению правой клавишей и щёлкаем по первому действию.
- Можно запустить редактор иначе — через окошко «Выполнить». Жмём на R и «Виндовс», а в меню печатаем те же три буквы cmd. Выполняем формулу через одновременное зажатие Ctrl, Shift и «Энтер».
- Первая команда, которую нужно запустить — bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS. Копируем, вставляем в чёрное окно и жмём на «Ввод» на «клаве».
- Когда процедура успешно завершится, набираем вторую формулу — bcdedit.exe -set TESTSIGNING ON. Так же жмём на «Энтер» для выполнения.
- Перезагружаем устройство и ставим драйвер с ошибкой.
- Если данный вариант решения вам не помог, выполняем в этом же редакторе команду exe /set nointegritychecks on. Перед этим зайдите в «операционку», используя безопасный режим. Для этого выполняем шаги из инструкции в разделе «Через загрузку ПК в специальном режиме», только вместо F7 нажимаем на F4.