Как выключить поддержку неподписанных драйверов. Отключение цифровой подписи драйверов Windows

Любой, кто занимался установкой каких-нибудь программ или драйверов, встречал сообщение о безопасности, в котором пользователю предлагается два варианта: не устанавливать или установить на свой страх и риск. Сегодня мы будем рассматривать вопрос «Как отключить проверку цифровой подписи в Windows 7».

Системе Windows требуется драйвер с цифровой подписью. Поскольку она пытается обезопасить вас, и сообщает, что компьютеру может быть нанесён вред, так как эти программы возможно — вредоносные. Цифровая подпись означает, что ПО можно доверять, поскольку оно прошло проверку и может быть использовано.

Компания Microsoft такие проверки осуществляет не бесплатно. Поэтому большая часть мелких программ не используют сертификат. Вы можете определить, какие устройства на вашем компьютере применяют драйвера без цифровой подписи. Для этого сначала откройте свойства компьютера.

В появившемся окне кликните на [k]Диспетчер устройств.

В результате вы увидите вот такой список.

На указанном скриншоте все устройства прошли проверку подлинности драйверов. Если Windows не может проверить издателя данного ПО, то в диспетчере устройств около оборудования появится восклицательный знак.

Для того чтобы подобного сообщения безопасности не выходило, нужно:

• отключить проверку цифровой подписи;
• подписать.

Разумеется, первый вариант намного эффективнее, поскольку вы навсегда избавитесь от подобных красных уведомлений. Но мы разберём оба способа.

Как отключить обязательную проверку подписи

Существует несколько методов, благодаря которым можно отключить это сообщение безопасности:

• использование консоли;
• настройкой групповых политик.

Как видите, вариантов достаточно. Рассмотрим детально каждый из них.

Консоль

Посредством командной строки в Windows 7 можно сделать что угодно. Для её запуска нажмите кнопку [k]Пуск и введите там слово [k]cmd. Затем нажмите кнопку Enter.

В результате поиска вначале списка появится нужное приложение.

Нажмите на эту строчку. Запустится следующее окошко.

Вводим команду, которая указана ниже и нажимаем клавишу Enter на клавиатуре.

bcdedit.exe /set nointegritycheks on

В будущем, если вы захотите вернуть настройки безопасности, то введите точно такую же команду, только в конце вместо [k]ON, нужно написать [k]OFF.

Для того чтобы изменения вступили в силу, нужно перезагрузить компьютер.

После этого вы сможете устанавливать любые программы.

Если вам важен контроль, и работа с программой без подписи будет кратковременной, то рекомендуется загрузиться в особом режиме. Для этого во время запуска Windows нажмите на кнопку F8. В результате этого вы увидите большой список различных вариантов загрузок.

Выберете вариант, который выделен красным и нажмите Enter. В таком случае будут работать любые приложения. Как только вы загрузитесь в обычном режиме, безопасность заработает в полную силу.

Групповая политика

В любой версии Windows 7, кроме Home Edition, есть специальный редактор групповых политик. Для его запуска на клавиатуре нажмите сочетание клавиш Win+R. Появится следующее окошко.

Введите там:

Произойдёт запуск редактора. По умолчанию дерево папок свёрнуто. Вам нужно перейти до пункта установка драйвера.

После того как вы нажмёте на этот пункт, у вас появится следующее.

Нажмите правую клавишу мыши и выберите пункт [k]Изменить.

В открывшемся окне выберите пункт [k]Отключить.

Разумеется, после этого нужно перезагрузить компьютер.

Описанные выше способы навсегда отключат проверку неподписанных драйверов. Если вам нужно временно обойти систему безопасности, то можно вручную подписать нужный файл, при этом не изменяя параметров всей операционной системы.

Использование Driver Signature Enforcement Overrider

После выхода операционной системы Windows Vista, был добавлен новый уровень защиты для x64 систем. Теперь можно пользоваться только тем софтом, который прошел проверку в Microsoft. Разумеется, проверка осуществляется платно. Существует огромное количество примеров, которые работают в Windows х32, но не запускаются в х64.

1. Скачиваем программу по ссылке . Для работы с этой утилитой нужно иметь права администратора. Если вы сидите под обычным пользователем, то войдите в систему под администратором или любым другим, у кого есть такой доступ. Далее, входим в «Панель управления» и выбираем там указанный пункт.

1. Выбираем [k]Учетные записи пользователей.

1. После этого в самом низу выбираем нужный пункт.

1. Вам нужно будет опустить ползунок до самого низа.

1. Нажмите кнопку [k]ОК и перезагрузите компьютер.
2. Запускаем консоль точно так же, как описано в самом начале статьи. Введите там следующий текст.

bcdedit /set loadoptions DDISABLE_ENTEGRITY_CHECKS

Большинству пользователей Виндовс 7 известно про инсталляцию для всевозможного оборудования своего компьютера, что файл драйвера имеет цифровую подпись, по которой идентифицируется в системе. Это некий ярлык или метка, по которой можно определить актуальность версии установленного драйвера, а также определяется его подлинность тем самым подтверждая его безопасность.

Последующая инсталляция драйвера на OS Windows, проводится с предварительной проверкой цифровой подписи и если значения сходятся, то система позволяет продолжение установки нового драйвера. Когда имеется конфликт, система выдает сообщение об этом – вы имеете возможность продолжить инсталляцию, но его работа может быть некорректной.
Но если выключить эту функцию, драйвер установится идеально, поэтому, возникает потребность в отключении проверки подписи.
Существует несколько проверенных и самых надежных методов отключения подписи цифрового драйвера.

Способ 1

Выполняем soft-reset (перезагрузку) ПК или лэптопа и начинаем нажимать периодически кнопку F8. Это требуется для вызова спец-меню, которое откроет нам необходимые настройки. Теперь находите пункт «Отключение обязательной проверки подписи …».
На разных версиях Windows название может быть разным, но нахождение функции располагается всегда снизу. Поэтому можете просто выбрать нижний пункт и активировать его вводом Enter. Данный метод способен отключить проверку, но только до последующей перезагрузки системы, поэтому данный способ можно рассматривать как временное устранение цифровой подписи.

Способ 2

Вторая возможность устранить проведение цифровой подписи драйверов – это групповая политика. Активации функции производится через ввод выражения «gpedit.msc» которую требуется внести в поиск стартового меню Windows. Нажимаем кнопку «Пуск» и вводим в поле поиска
«gpedit.msc».

Когда вы удачно произвели запуск групповой политики, слева нужно открыть вкладку «Конфигурация пользователя», затем перейти по ссылке «Шаблоны администрации»,
найти параметр «Система» — инсталляция драйверов. Если в левом меню будет выбрана закладка «Установка драйверов» то справа можно заметить настройку отключения их подписи, которую нужно активировать двойным нажатием.
Перед закрытием окна настроек обязательно сохраняем изменения и выходим из утилиты. Данный метод хорош, но, увы, функционирует не у всех.

Способ 3

Третьим инструментом выключения подписи драйверов становится стандартная строка ввода команд. Запустить ее можно посредством поиска, внеся(можно скопировать и вставить) в строку комбинацию «cmd». Необходимо внести такие значения: bcdedit -set loadoptions DDISABLED_INTEGRITY_CHECKS, что приведет к принудительному отключению встроенной подписи драйверов. Затем, после введения вручную такой комбинации(можно копировать и вставить), подтверждаем нажатием на Enter, и вносим следующий параметр: bcdedit -set TESTSIGNING ON.
Вследствие активации таких команд, система даст разрешение на инсталляцию любого драйвера. Возвращение прежних настроек выполняется посредством внесения в командной строке: . Это первая команда, что отменяет действие соответствующей конфигурации, а затем вносится установка bsdedit -set loadoption TESTSIGNING OFF, что позволяет вернуть прежнюю подпись. Их нужно вносить отдельно.

Многие из драйверов, которые когда-либо были выпущены, имеют цифровую подпись. Это служит неким подтверждением того, что программное обеспечение не содержит вредоносных файлов и абсолютно безопасно для вашего использования. Несмотря на все благие намерения данной процедуры, иногда проверка подписи может доставить некоторые неудобства. Дело в том, что не все драйвера имеют соответствующую подпись. А ПО без соответствующей подписи операционная система просто откажется устанавливать. В таких случаях приходится отключать упомянутую проверку. Именно о том, как отключить обязательную проверку подписи драйвера, мы и расскажем в нашем сегодняшнем уроке.

Устанавливая драйвер для необходимого вам устройства, вы можете увидеть на своем экране сообщение службы безопасности Windows.


Несмотря на то, что вы можете в появившемся окне выбрать пункт «Установить этот драйвер все равно» , ПО будет инсталлировано некорректно. Поэтому решить проблему просто выбором данного пункта в сообщении не получится. Такое устройство будет помечено восклицательным знаком в «Диспетчере устройств» , что свидетельствует о проблемах в работе оборудования.


Как правило, в описании такого устройства будет фигурировать ошибка 52.


Кроме того, во время инсталляции софта без соответствующей подписи может появиться уведомление в трее. Если вы увидите нечто подобное, изображенное на скриншоте ниже, это значит, что вы, возможно, столкнулись с проблемой проверки подписи драйвера.

Как отключить проверку наличия подписи у ПО

Можно выделить два основных вида отключения проверки — перманентный (постоянный) и временный. Предлагаем вашему вниманию несколько разных способов, которые позволят вам отключить проверку и инсталлировать любые драйвера на компьютер или ноутбук.

Способ 1: DSEO

Чтобы не копаться в настройках системы, имеется специальная программа, которая присваивает идентификатор для нужного драйвера. Driver Signature Enforcement Overrider позволяет изменять цифровые подписи в любом ПО и драйверах.

Этот способ является временным решением возникшей проблемы. Он позволит отключить проверку лишь до следующей перезагрузки компьютера или ноутбука. Тем не менее, он может быть весьма полезен в некоторых ситуациях. Этот способ мы разделим на две части, так как в зависимости от установленной версии ОС ваши действия будут несколько отличаться.

Для владельцев Windows 7 и ниже

Обладателям Windows 8 и выше

Несмотря на то, что с проблемой проверки цифровой подписи сталкиваются в основном владельцы Windows 7, подобные трудности встречаются и при использовании последующих версий ОС. Данные действия необходимо выполнять, предварительно войдя в систему.

У этого способа есть один недостаток, который проявляется в некоторых случаях. Он заключается в том, что после очередного включения проверки установленные ранее драйвера без надлежащей подписи могут прекратить свою работу, что приведет к определенным трудностям. Если такая ситуация у вас возникла, вам следует использовать следующий способ, позволяющий отключить проверку насовсем.

Способ 3: Настройка групповой политики

С помощью данного способа вы сможете отключить обязательную проверку полностью либо до тех пор, пока вы ее не включите обратно самостоятельно. Одним из достоинств данного способа является то, что он применим на абсолютно любой операционной системе. Вот что необходимо для этого сделать:

Способ 4: «Командная строка» Windows

Используя один из приведенных выше способов, вы с легкостью избавитесь от проблем, связанных с установкой ПО без цифровой подписи. Не стоит думать, что отключение функции проверки повлечет за собой появление каких-либо уязвимостей системы. Эти действия совершенно безопасны и сами по себе не заразят ваш компьютер вредоносными программами. Тем не менее, рекомендуем всегда использовать антивирус, дабы обезопасить себя полностью от любых проблем при серфинге в интернете. К примеру, можно использовать бесплатное решение .

Все 64 битные версии Windows, начиная с Windows 7, по умолчанию запрещают установку драйверов устройств, которые не подписаны с помощью корректной цифровой подписи. Неподписанные драйвер блокируются операционной системой. Наличие цифровой подписи гарантирует (в какой-то мере), что драйвер выпущен конкретным разработчиком или вендором, а его код не был модифицирован после того, как он был подписан.

Сегодня мы покажем, как можно самостоятельно подписать любой неподписанный драйвер для 64 битной версии Windows 10 или Windows 7 .

Предположим, что у нас имеется драйвер некого устройства для x64 Windows 10 или Windows 7, у которого отсутствует цифровая подпись (в нашем примере это будет драйвер для довольно старой видеокарты). Архив с драйверами под нашу версию Windows (мне удалось найти драйвер для Windows Vista x64) был скачан с сайта производителя и его содержимое распаковано в каталог c:\tools\drv1\. Попробуем установить драйвер, добавив его в с помощью стандартной утилиты pnputil .

Pnputil –a "C:\tools\drv1\xg20gr.inf"

Примечание . Эта и все последующие команды выполняются в командной строке, запущенной с правами администратора.

В процессе его установки Windows 7 отобразит предупреждение о том, что система не может проверить цифровую подпись данного драйвера.

В Windows 10 такое предупреждение даже не появляется, а в консоли появляется предупреждение, что в стороннем INF файле отсутствует информация о цифровой подписи.

При попытке установить драйвер из проводника Windows, если вы щелкните ПКМ по inf файлу драйвера и выберите Install / Установить появится ошибка:

The third-party INF does not contain digital signature information.

INF стороннего производителя не содержит информации о подписи.

Попробуем подписать данный драйвер с помощью самоподписанного сертификата.

Утилиты, необходимые для подписывания драйвера

Для работы нам понадобится скачать и установить (с настройками по умолчанию) следующие инструменты разработчика приложений для Windows.

• Windows SDK (или Microsoft Visual Studio 2005 или выше) для вашей версии Windows – в состав этих пакетов входит Windows SDK Signing tools for Desktop, в которую включена необходимая нам утилита — signtool.exe;
• Windows Driver Kit 7.1.0 - ISO образа GRMWDK_EN_7600_1.ISO размером 649 Мб

Совет . В Windows 10 можно использовать более новые версии Windows SDK и Windows Driver Kit. Перед установкой этих инструментов, убедитесь, что в системе установлен.NET Framework 4.

Создаем самоподписанный сертификат и закрытый ключ

Создадим в корне диска каталог C:\DriverCert.

Откроем командную строку и перейдем в следующий каталог:

cd C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1\bin

Создадим самоподписанный сертификат и закрытый ключ, выданный, допустим, для компании Winitpro:

makecert -r -sv C:\DriverCert\myDrivers.pvk -n CN="Winitpro" C:\DriverCert\MyDrivers.cer

Во время создания утилита попросит указать пароль для ключа, пусть это будет P @ ss 0 wrd .

На основе созданного сертификата создадим публичный ключ для сертификата издателя ПО (PKCS).

cert2spc C:\DriverCert\myDrivers.cer C:\DriverCert\myDrivers.spc

Объединим публичный ключ (.spc) и персональный ключ (.pvk) в одном файле сертификата формата Personal Information Exchange (.pfx).

pvk2pfx -pvk C:\DriverCert\myDrivers.pvk -pi P@ss0wrd -spc C:\DriverCert\myDrivers.spc -pfx C:\DriverCert\myDrivers.pfx -po P@ss0wrd

Совет . Вы можете создать самоподписанный сертификат типа Code Signing без использования сторонних средств с помощью командлета PowerShell 5.0 — .

$cert = New-SelfSignedCertificate -Subject "Winitpro” -Type CodeSigningCert -CertStoreLocation cert:\LocalMachine\My

Затем нужно экспортировать данный сертфикат в pfx файл с паролем:

$CertPassword = ConvertTo-SecureString -String “P@ss0wrd” -Force –AsPlainText
Export-PfxCertificate -Cert $cert -FilePath C:\DriverCert\myDrivers.pfx -Password $CertPassword

Совет . Несмотря на то, что сертификат имеет ограниченный срок действия, истечение срока действия сертификата CodeSigning означает, что вы не сможете создавать новые сигнатуры. Срок действия драйвера, уже подписанного этим сертификатом, бессрочен (либо старые сигнатуры действуют в течении указанного timestamp).

Генерируем CAT файл драйвера

Создадим каталог C :\ DriverCert \ xg и скопируем в него все файлы из каталога, в который первоначально был распакован архив с драйвером (c:\tools\drv1\). Убедить что среди файлов имеются файлы с расширением . sys и . inf (в нашем случае xg20grp.sys и xg20gr).

Перейдем в каталог:

cd C:\WinDDK\7600.16385.1\bin\selfsign

На основе inf файла с помощью утилиты inf2cat.exe (входит в состав Windows Driver Kit -WDK) сгенерируем для нашей платформы cat файл (содержит информацию о всех файлах пакета драйвера).

inf2cat.exe /driver:"C:\DriverCert\xg" /os:7_X64 /verbose

Чтобы убедитесь, что процедура прошла корректно, проверьте, что в логе присутствуют сообщения:

Signability test complete .
и
Catalog generation complete .

Совет . В моем случае команда Inf2Cat.exe вернула ошибку:

Signability test failed.

22.9.7: DriverVer set to incorrect date (must be postdated to 4/21/2009 for newest OS) in \hdx861a.inf

Для исправления ошибки нужно в секции найти строку с DriverVer= и заменить ее на:

После выполнения команды в каталоге драйвера должен обновиться файл g20gr.cat

Подписываем драйвер самоподписанным сертификатом

Перейдите в каталог:

cd "C:\Program Files (x86)\Windows Kits\10\bin\10.0.17134.0\x64"

Подпишем комплект файлов драйвера созданным нами сертификатом, в качестве сервиса таймстампа (штамп времени) воспользуемся ресурсом Globalsign. Следующая команда подпишет CAT файл цифровой подписью с помощью сертификата, хранящегося в PFX-файл, защищенном паролем.

signtool sign /f C:\DriverCert\myDrivers.pfx /p P@ss0wrd /t http://timestamp.globalsign.com/scripts/timstamp.dll /v "C:\DriverCert\xg\xg20gr.cat"

Если файл подписан успешно, должна появится надпись:

Successfully signed: C:\DriverCert\xg\xg20gr.cat
Number of files successfully Signed: 1

Примечание . Цифровая подпись драйвера содержится в.cat файле, на который ссылается.inf файл драйвера. С помощью следующей команды можно проверить цифровую подпись драйвера в cat файле:

SignTool verify /v /pa c:\DriverCert\xg\xg20gr.cat

Лидо в свойствах файла на вкладке Digital Signatures.

CAT файл содержит цифровые подписи (отпечатки / thumbprints) всех файлов, которые находятся в каталоге драйвера (файлов, которые указаны в INF файле в секции CopyFiles ). Если любой из этих файлов был изменен, то контрольная сумма файлов не будет совпадать с данными в CAT файле, в результате установка такого драйвера закончится ошибкой.

Установка сертификата

Т.к. созданный нами сертификат является самоподписанным, система по-умолчанию ему не доверяет. Добавим наш сертификат в локальное хранилище сертификатов. Сделать это можно с помощью команд:

certmgr.exe -add C:\DriverCert\myDrivers.cer -s -r localMachine ROOT
certmgr.exe -add C:\DriverCert\myDrivers.cer -s -r localMachine TRUSTEDPUBLISHER

Или из графического мастера добавления сертификатов (сертификат нужно поместить в хранилища Trusted Publishers и Trusted Root Certification Authorities локальной машины ). В домене вы можете централизованно .

Примечание . Проверить наличие созданного нами сертификата в доверенных можно, открыв оснастку управления сертификатами (certmgr.msc) и проверив наличие созданного нами сертификата (выдан для winitpro) в соответствующих хранилищах.

Примечание . При проверке хранилища сертификатов с помощью утилиты этот сертификат будет отображаться как недоверенный, т.к. он отсутствует в списке со списком корневых сертификатов Microsoft (этот список нужно периодически ).

Установка драйвера, заверенного самоподписанным сертификатом

Попробуем еще раз установить подписанный нами драйвер, выполнив команду:

Pnputil –i –a C:\DriverCert\xg20\xg20gr.inf

Теперь в процессе установки драйвера, окна-предупреждения об отсутствующей цифровой подписи драйвера не появится.

Successfully installed the driver on a device on the system.
Driver package added successfully.

В Windows 7 появляется такое предупреждение. о том, уверены ли вы, что хотите установить этот драйвер (в Windows 10 x64 1803 такое всплывающее окно не появляется). Нажав «Install », вы установите драйвер в системе.

Если по каким-то причинам драйвер не устанавливается, подробный лог установки драйвера содержится в файле C :\Windows \inf \setupapi .dev .log . Этот лог позволит вам получить более подробную информацию об ошибке установки. В большинстве случаем возникает ошибка «Driver package failed signature validation» — скорее всего это означает, что сертификат драйвера не добавлен в доверенные сертификаты.

Если установка драйвера прошла успешно, в файле setupapi.dev.log будут примерно такие строки:

>>> >>> Section start 2018/07/22 23:32:57.015 cmd: Pnputil -i -a c:\DriverCert\xg\xg20gr.inf ndv: Flags: 0x00000000 ndv: INF path: C:\WINDOWS\System32\DriverStore\FileRepository\xg20gr.inf_amd64_c5955181485ee80a\xg20gr.inf inf: {SetupCopyOEMInf: C:\WINDOWS\System32\DriverStore\FileRepository\xg20gr.inf_amd64_c5955181485ee80a\xg20gr.inf} 23:32:57.046 inf: Copy style: 0x00000000 inf: Driver Store Path: C:\WINDOWS\System32\DriverStore\FileRepository\xg20gr.inf_amd64_c5955181485ee80a\xg20gr.inf inf: Published Inf Path: C:\WINDOWS\INF\oem23.inf inf: {SetupCopyOEMInf exit (0x00000000)} 23:32:57.077 <<< Section end 2018/07/22 23:32:57.155 <<<

Как вы видите, для установки самоподписанного драйвера нам даже не пришлось отключать проверку цифровой подписи драйверов с помощью bcdedit.exe, как описано (команды bcdedit.exe /set loadoptions DISABLE_INTEGRITY_CHECKS и bcdedit.exe /set testsigning ON).