- 2] использование утилиты сертификатов digicert
- Все о подписи драйверов windows / песочница / хабр
- Выбор действия при установке драйвера
- Дополнительно
- Зачем нужна подпись драйверов для windows »
- Как отключить цифровую подпись драйверов?
- Помогла ли вам эта статья?
- Предназначение цифровой подписи драйвера
- Проверка цифровой подписи
- Просмотр цифровой подписи драйвера
- Способ 1
- Способ 1: переход в режим загрузки с деактивацией обязательной верификации подписей
- Способ 2: «командная строка»
- Способ 3: «редактор групповой политики»
- Способ 4: «редактор реестра»
- Способ №1 — командная строка (постоянное отключение)
- Способ №1 — меню перезагрузки
- Способ №1 — меню перезагрузки
- Способ №2 — командная строка (временное отключение)
- Способ №3 — командная строка (тестовый режим)
- Способ №3 — меню перезагрузки
- Способ №4 — командная строка (вариант загрузки windows 7)
2] использование утилиты сертификатов digicert
Используйте эту ссылку , чтобы загрузить последнюю версию DigiCert и запустить исполняемый файл.
Примите условия использования, отображаемые в начале, а затем перейдите на вкладку с надписью Подписывание кода , а затем в разделе заголовка нажмите Проверить подпись.
Выберите установочный файл, который вам нужен для проверки цифровой подписи.
Это приведет к тому, что DigiCert проверит подпись и отобразит всю информацию в новом открывшемся окне.
DigiCert проверяет две вещи. Они заключаются в следующем:
- Если файл был подписан и если подпись действительна.
- Проверяет метку времени подписи.
Если вы получили две зеленые галочки, как показано на скриншоте выше, проверка прошла успешно. У вас есть дополнительная информация в этом окне для вашего удобства.
Все о подписи драйверов windows / песочница / хабр
Как известно в х64 битных платформах была введена процедура обязательной цифровой подписи всего того, что может попасть в ядро системы, а именно драйверов. О том, на сколько это эффективно и оправданно можно долго спорить, но только одно можно сказать точно — гимора разработчикам тут определенно добавилась, особенно тем, кто раньше никогда подписями не занимался. Также для многих стало крайне не очевидно, каким образом разрабатывать драйвер, когда нет на руках валидного сертификата, а тестировать ведь как-то надо. Вот сча я попытаюсь в краткой и доступной форме рассказать о том как это все делается.
Итак, прежде всего, я бы хотел выделить два типа сертификатов, которые я буду рассматривать в рамках данной статьи — тестовый и настоящий. Разница состоит в том, что настоящий сертификат подписан доверенным CA (Certification Authorities — доверенный издатель), типа VeriSign, GlobalSign ну или самим Microsoft, а тестовый подписан самопальным сертификатом типа от Васи Пупкина.
Тестовый сертификат
Как вы уже наверное догадались, именно с помощью этого типа сертификата можно спокойно разрабатывать драйвер, не имея на руках настоящего, но все не так просто, прежде чем его использовать надо проделать некоторые унылые и мудреные мероприятия:
- Сгенерить сам сертификат и установить его. Это можно сделать с помощью тулзы makecert, например так:
Makecert -r -pe -ss PrivateCertStore -n "CN=TestCertforWDK" TestCert.cer
где
PrivateCertStore — название хранилища
TestCertforWDK — название самого сертификата
TestCert.cer — имя файла с сертификатом
(эта тулза входит в комплект WDK 6000/6001 и расположена bin/SelfSign, в WDK 7600 она почему то не входит…) - Добавить этот сертификат в хранилище с доверенным корневыми CA. Открываем в mmc консоль Сертификаты (Run->mmc->File->Add/Remove Snap-in->Certificates) там находим свой сертификат (например в хранилище PrivateCertStore), копируем его в доверенные корневые издатели (Trusted Root Certification Authorities).
- Разрешить тестовые подписи. Для этого прописываем в администраторской консоли:
bcdedit.exe –set TESTSIGNING ON
и перезагружаемся, в итоге на десктопе, после перезагрузки, по углам красоваться соответствующие надписи.
Настоящий сертификат
Тут тоже не все так просто. Дело в том, что не любой CA может выдавать сертификаты для подписи драйверов Windows, а только те, которые авторизованы самой Microsoft, это значит, что корневые сертификаты этих издателей должны быть подписаны Microsoft — что, как раз и выражается в виде этого кросс-сертификата. Вот именно из-за отсутствия кросс-сертификата — тестовая подпись, никогда не будет работать как настоящая. Список доверенных CA, которые обладают такими кросс-сертификатами — представлен тут, там же можно скачать и сами кросс-сертификаты.
После того, как вы выложите несколько сотенок $$$ доверенному центру сертификации, они выдадут вам .pfx файл в котором будут содержаться публичный и приватный ключи. Вы его запустите и с помощью нехитрого диалога (как на рисунке ниже), установите в систему.
Подпись драйвера
Процесс подписи для тестового и настоящего сертификата во многом похожи, различия состоят лиш в том, что:
- для тествой подписи не нужен кросс-сертификат
- для тествой подписи можно не делать таймстамп
Итак приступим
- Качаем тулзу для подписи — signtool (тоже входит в комплект WDK6000/6001)
- Подписываем, с тестовым сертификатом:
signtool sign /v /s PrivateCertStore /n "TestCertforWDK" driver.sys
где
PrivateCertStore — имя хранилища
TestCertforWDK — имя тестового сертификата
driver.sys — имя драйверас настоящим сертификатом:
signtool sign /v /ac MSCV-GlobalSign.cer /s PrivateCertStore /n "YourTrueCertName" /t http://timestamp.globalsign.com/scripts/timstamp.dll driver.sys
где
MSCV-GlobalSign.cer — имя кросс-сертификата
YourTrueCertName — имя настоящего сертификата
timestamp.globalsign.com/scripts/timstamp.dll — адрес таймстампингового центра, в моем случае global sign
Далее драйвер можно установить программно с помощью специальных АПИ либо с помощью замечательной тулзы
KmdManager
.
Подпись пакета драйверов
В реальной жизни подписи самого драйвера оказывается недостаточно, дело в том, что драйвера устройств как правило поставляются в комплекте с inf-файлом, в котором содержится информация о драйвере и устройствах которые он обслуживает. В этом случае необходимо будет сгенерить cat-файл, который содержит в себе инфу о всех файлах пакета, а потом подписать его точно также, как подписывали драйвер.
Для генерации cat-файла и его подписи нам понадобится:
- Корректный inf-файл (запасайтесь бубнами ребятки)
- Тулза которая генерит этот cat-файл из inf-файлов — inf2cat (эта тулза входит в комплект WDK6001/7600, и написана, как не странно, на .NET)
- После чего генерим cat-файл, например так
inf2cat.exe /driver:releaseamd64 /os:Vista_x64,Server2003_x64,Server2008_x64
где
releaseamd64 — папка в которой находится inf-файл и драйверы
Vista_x64,Server2003_x64,Server2008_x64 — список ОС, на которых должен работать драйвер - Подписываем его точно также, как и драйвер
signtool sign /v /ac MSCV-GlobalSign.cer /s PrivateCertStore /n "YourTrueCertName" /t http://timestamp.globalsign.com/scripts/timstamp.dll catalog.cat
сам драйвер при этом подписывать не обязательно. - Проверяем, что все хорошо подписалось, для этого открываем свойство .cat файла (или драйвера) и смотрим вкладку Digital Signatures — если есть то можем полюбоваться на результат, если нет, то где-то накосячили.
Также более достоверно можно проверить с помощью командной строкиsigntool verify /pa /v /c catalog.cat
EasySign
В результате всех моих исследований на предмет САБЖ-а, я некатал по-быстрому простенькую программку EasySign, которая может подписывать дрова без дополнительного гимора с командной строкой и bat-файлами. Возможно кому-то будет полезно.
Саму прогу можно скачать тут, а мануалку почитать ниже:
- Вбиваем в Inf Dir путь к папке где лежит сам .inf файл и все необходимые файлы к нему прилагающиеся.
- Выбираем ОСи где работает драйвер.
- Cross Cert — указываем путь к кросс-сертификату, если нужно подписать драйвер по-настоящему
- Cert Store — названия хранилища, где лежит наш сертификат (например PrivateCertStore)
- Cert Name — название сертификата (например TestCertforWDK), если сертификат один в хранилище, то можно и не заполнять это поле.
- Time Stamp — адрес таймстампингового центра, для тестового сертификата — можно оставить пустым
- Файлы которые надо подписать, тут нужно обязательно добавить cat файл (если еще не создан, то прописать его имя вручную), а также можно добавить все файлы драйверов
- Generate Catalog Only — если подписывать не надо, а только создать .cat файл
- Жмем Sign — чтобы создать cat-файл и подписать, жмем Log — чтобы почитать что произошло, часто бывают ошибки, например неправильно составлен inf-файл, либо signtool чего-то не нашел и т.п.
Литература по теме
http://msdn.microsoft.com/en-us/library/ff544865(VS.85).aspx
Выбор действия при установке драйвера
При установке нового драйвера Windows отобразит одно из предупреждений:
К сожалению, не существует надежных источников сведений, которые могут указать, кто опубликовал неподписанный драйвер. Любой может изменить содержимое неподписанного драйвера. Первоначальная версия неподписанного драйвера действительно могла прийти от изготовителя устройства, но если драйвер не подписан, то возможно, что кто-то его изменил.
Дополнительно
Установка неподписанных драйверов в Windows 8.1
Зачем нужна подпись драйверов для windows »
Если вы скачали драйвер, а он не устанавливается либо прерывает установку с ошибкой, скорее всего, виной подпись драйверов. Далеко не все драйвера для Windows имеют корректную цифровую подпись, которая обязательно требуется для установки драйвера на 64-х битную Windows. В таком случае можно отключить проверку подписи драйверов в Windows 10, 8 и 7. Отключить проверку подписи драйверов можно:
Чтобы включить обязательную проверку подписи драйверов в Windows 10:
Теперь вы знаете как включить обязательную проверку подписи драйверов в Windows 10.
Как отключить проверку подписи драйверов в Windows 10:
- Нажмите на меню “Пуск”
- Выберите “Выключение”
- Нажмите не “Перезагрузка” с зажатой клавишей Shift, компьютер перезагрузится в режим диагностики
- Диагностика (Поиск и устранение неисправностей для компьютеров с OS Windows 10)
- Дополнительные параметры
- Параметры загрузки
- Перезагрузка
- Чтобы отключить проверку подписи драйвера в Windows, нужно нажать клавишу F7 (“Отключить обязательную проверку подписи драйверов”) и дождаться полной загрузки системы
Все драйвера будут устанавливаться только до перезагрузки. А каким способом отключаете проверку подписи драйверов вы? Напишите в комментариях!
Как отключить проверку цифровой подписи драйверов в Windows 10:
- Откройте пуск, введите gpedit.msc и откройте предложенную программу
- Открылось окно настроек, оно разделено на две части, в левой части выберите:
- Дважды нажмите в правой части окна “Цифровая подпись драйвера устройств”
- Выберите “Отключить” (в верхней части окна) – все драйвера без цифровой подписи будут устанавливаться
- Нажмите “Применить” и закройте окно
- Перезагрузите компьютер
После этого вы сможете устанавливать любые драйверы на свой компьютер.
Возникли вопросы и вы не смогли отключить проверку цифровой подписи? Пишите в комментарии!
Отключение проверки подписи драйверов в Windows 10 можно сделать через командную строку. Отключение обязательной проверки подписи драйверов:
- Откройте командную строку от имени администратора
- Введите
bcdedit.exe -set loadoption DISABLE_INTEGRITY_CHECK
- Нажмите Enter
- Введите
bcdedit.exe -set TESTSIGNING ON
- Нажмите Enter
- Перезагрузите ПК
- Установите драйвер без подписи
- Откройте командную строку от имени администратора и введите
bcdedit.exe -set TESTSIGNING -OFF
- Снова перезагрузите компьютер
- Готово! У вас получилось отключение проверки подписи драйверов в Windows
Установка драйверов без подписи драйверов в Windows 10 невозможна без отключения проверки подписи драйверов. Сделать это можно несколькими способами (выберите для себя удобный). Как установить драйвер без подписки в Windows 10:
- Отключите обязательную проверку подписи
- Установите необходимый драйвер без подписи
- Включите проверку подписи драйверов
Как отключить цифровую подпись драйверов?
Существует 4 варианта, позволяющих добиться поставленного результата, начнём с наиболее простого. Для их использования вам потребуется права администратора, ведь придется вносить изменения в важные настройки системы.
Помогла ли вам эта статья?
ДАНЕТ
Предназначение цифровой подписи драйвера
Важно понимать, что если драйвер без цифровой подписи (об этом вам скажет всплывающее окно), то скорее всего: он не сертифицирован или приложение сертифицировано, но подверглось изменению после процедуры. Оба случая весьма опасны для компьютера, так как, если вы столкнетесь с версией обработанной хакером (это может быть драйвер известной фирмы), то приложение может производить абсолютно любые действия на компьютере.
По умолчанию в Windows проводится проверка цифровой подписи драйверов, чтобы определить насколько доверительная программа используется.
Данная процедура способна защитить от многих проблем с компьютером из-за возможных подделок. Опять же, нет гарантии, что, если вы сможете установить драйвер цифровой подписью, у вас не возникнут проблемы с его содержимым.
Проверка цифровой подписи
В Windows 7 для проверки цифровой подписи есть специальная утилита sigverif.exe. Для ее запуска нужно в поисковой строке меню Пуск набрать sigverif.exe и нажать Ввод
В окне программы жмем Начать и она автоматически проверяет системные файлы на наличие подписей.
Результат проверки сохраняется в текстовый файл sigverif.txt. Хранится он в папке Общие документы, также его можно посмотреть прямо из окна программы, щелкнув по кнопке Дополнительно.
Просмотр цифровой подписи драйвера
Для того, чтобы посмотреть информацию об установленном программном обеспечении вам следует:
- Откройте меню «Пуск»;
- Нажмите правой кнопкой по «Мой компьютер» и выберите опцию «Свойства»;
- Далее в меню слева нажмите на пункт «Диспетчер устройств»;
- Перед вами будет перечень категорий, выберите нужную и раскройте её;
- Нажмите правой кнопкой по оборудованию с интересующей вас подписью и выберите «Свойства»;
- Перейдите на вкладку «Сведения»;
- Вы увидите выпадающий список в графе «Свойство». Выбирая нужную опцию, в графе значение будет показываться информация.
Вывод прост, лучше всеми силами избегать драйверов без цифровой подписи, ведь они представляют собой кота в мешке. Тем не менее, если выбора нет, конечно, можно установить программное обеспечение, но прежде постарайтесь изучить производителя.
Если у Вас остались вопросы по теме “Цифровая подпись драйвера Windows 7”, то можете задать их в комментариях
Способ 1
1.Нажмите Win R и введите команду cmd;
2.Затем вам следует в открывшемся окне вставить bcdedit.exe /set nointegritychecks ON, нажмите ввод.
Способ 1: переход в режим загрузки с деактивацией обязательной верификации подписей
Чтобы деактивировать верификацию подписи драйверов при их инсталляции на Виндовс 7, можно произвести загрузку ОС в особом режиме.
- Перезагрузите или включите компьютер в зависимости от того, в каком состоянии он в данный момент находится. Как только прозвучит звуковой сигнал при запуске, зажмите клавишу F8. В некоторых случаях это может быть иная кнопка или сочетание, в зависимости от версии BIOS, установленного на вашем ПК. Но в подавляющем большинстве случаев нужно применять именно вышеуказанный вариант.
- Откроется перечень вариантов запуска. При помощи стрелок навигации на клавиатуре выберите пункт «Отключение обязательной проверки…» и щелкните Enter.
- После этого ПК запустится в режиме деактивированной проверки подписи и вы сможете спокойно инсталлировать любые драйвера.
Недостаток данного метода заключается в том, что как только вы запустите в следующий раз компьютер в обычном режиме, все установленные драйвера без цифровых подписей тут же слетят. Этот вариант подходит лишь для одноразового подключения, ели вы не планируете использовать устройство регулярно.
Способ 2: «командная строка»
Отключить верификацию цифровой подписи можно при помощи введения команд в «Командную строку» операционной системы.
- Жмите «Пуск». Переходите во «Все программы».
- Щелкайте «Стандартные».
- В раскрывшейся директории ищите «Командная строка». Произведя нажатие по указанному элементу правой кнопкой мышки (ПКМ), выбирайте позицию «Запуск от имени администратора» в отобразившемся перечне.
- Активируется «Командная строка», в которую нужно ввести следующее:
bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS
Щелкайте Enter.
- После появления информации, говорящей об удачном завершении задачи, вбивайте такое выражение:
bcdedit.exe -set TESTSIGNING ON
Снова применяйте Enter.
- Верификация подписи теперь деактивирована.
- Для её повторной активации вбейте:
bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS
Применяйте нажатием Enter.
- Затем вбейте:
bcdedit -set TESTSIGNING ON
Снова нажимайте Enter.
- Верификация подписи снова активирована.
Существует ещё один вариант действий через «Командную строку». В отличие от предыдущего, он требует всего лишь введения одной команды.
- Вводите:
bcdedit.exe /set nointegritychecks ON
Жмите Enter.
- Проверка деактивирована. Но после инсталляции необходимого драйвера все-таки рекомендуем снова активировать верификацию. В «Командной строке» вбейте:
bcdedit.exe /set nointegritychecks ON OFF
- Верификация подписи опять активирована.
Урок: Активация «Командной строки» в Виндовс 7
Способ 3: «редактор групповой политики»
Другой вариант деактивации верификации подписи осуществляется методом манипуляций в «Редакторе групповой политики». Правда, он доступен только в редакциях «Корпоративная», «Профессиональная» и «Максимальная», а вот для редакций «Домашняя базовая», «Начальная» и «Домашняя расширенная» этот алгоритм выполнения поставленной задачи не подойдет, так как в них отсутствует необходимая функциональность.
- Для активации нужного нам инструмента воспользуемся оболочкой «Выполнить». Нажмите Win R. В поле отобразившейся формы введите:
gpedit.msc
Жмите «OK».
- Запускается необходимый для наших целей инструмент. В центральной части открывшегося окна щелкайте по позиции «Конфигурация пользователя».
- Далее жмите «Административные шаблоны».
- Теперь войдите в директорию «Система».
- Затем откройте объект «Установка драйвера».
- Теперь щелкайте по названию «Цифровая подпись драйверов…».
- Открывается окно настройки вышеуказанного компонента. Выставьте радиокнопку в положение «Отключить», а затем жмите «Применить» и «OK».
- Теперь закрывайте все открытые окна и программы, далее щелкайте «Пуск». Кликните по треугольной фигуре справа от кнопки «Завершение работы». Выбирайте «Перезагрузка».
- Компьютер будет перезапущен, после чего верификация подписи деактивируется.
Способ 4: «редактор реестра»
Следующий способ решения поставленного задания выполняется через «Редактор реестра».
Способ №1 — командная строка (постоянное отключение)
1. В меню пуск выполните поиск — введите cmd
2. Запустите командную строку от имени администратора
3. Введите команду
bcdedit.exe /set nointegritychecks ON
4. Перезагрузите компьютер, проверка цифровой подписи драйверов в Windows 7 отключена.
5. Для того чтобы заново активировать проверку введите в командной строке:
bcdedit.exe /set nointegritychecks OFF
Способ №1 — меню перезагрузки
Перед тем как воспользоваться данным способ сохраните все данные ваши данные работы за компьютером и закройте программы.
1.Перейдите в «ПУСК» и выбрать «Параметры»
2. Переходим в «Обновление и безопасность» -> «Восстановление» -> «Особые варианты загрузки» -> «Перезагрузить сейчас»
3. Далее компьютер перезагрузиться в специальный режим восстановления работоспособности Windows, вам будет необходимо перейти «Поиск и устранение неисправностей» -> «Дополнительные параметры» -> «Параметры загрузки» -> «Перезагрузить»
4. Windows вновь перезагрузиться и перед вами появиться меню с вариантами выбора загрузки, нажимаем клавишу F7
5. Проверки цифровой подписи драйверов в Windows 10 отключена на время (до следующей перезагрузки), устанавливаем необходимый драйвер.
Способ №1 — меню перезагрузки
1. Нажать одновременно клавиши WIN I
2. В появившемся справа боковом меню выбрать «Параметры»
3. Зажимаем кнопку «Shift» и в меню выключения выбираем «Перезагрузка»
4. Далее компьютер перезагрузиться в специальный режим восстановления работоспособности Windows, вам будет необходимо перейти «Диагностика» -> «Дополнительные параметры» -> «Параметры загрузки» -> «Перезагрузить»
4. Windows вновь перезагрузиться и перед вами появиться меню с вариантами выбора загрузки, нажимаем клавишу F7
5. Проверки цифровой подписи драйверов в Windows 8.1 /8 отключена на время (до следующей перезагрузки), устанавливаем необходимый драйвер.
Способ №2 — командная строка (временное отключение)
1. В меню пуск выполните поиск — введите cmd
2. Запустите командную строку от имени администратора
3. Введите поочередно следующие команды:
bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS
bcdedit.exe -set TESTSIGNING ON
4. Подтвердите изменения и перезагрузите компьютер, проверка цифровой подписи драйверов в Windows 7 отключена.
Способ №3 — командная строка (тестовый режим)
1. В меню пуск выполните поиск — введите cmd
2. Запустите командную строку от имени администратора
3. Введите поочередно следующие команды:
bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS
bcdedit.exe -set TESTSIGNING ON
4. Подтвердите изменения и перезагрузите компьютер, проверка цифровой подписи драйверов в Windows 10 отключена.
Способ №3 — меню перезагрузки
1. Перезагрузите компьютер и в момент загрузки компьютера нажимайте клавишу F8
2. В меню выбрать «Отключение обязательной проверки подписи драйверов»
Способ №4 — командная строка (вариант загрузки windows 7)
1. В меню пуск выполните поиск — введите cmd
2. Запустите командную строку от имени администратора
3. Введите команду:
bcdedit /set "{current}" bootmenupolicy legacy
4. Перезагрузите компьютер и в момент загрузки компьютера нажимайте клавишу F8
5. В меню выбрать «Отключение обязательной проверки подписи драйверов»
4. Проверка цифровой подписи драйверов в Windows 10 отключена.