Что означает наличие цифровой подписи у драйвера. Отключение цифровой подписи драйверов Windows. Отключение через редактор групповой политики

Многие пользователи уже встречались с неподписанными драйверами. Хочешь установить необходимый драйвер для какой-то программы, а Windows 7 показывает здоровенную фигу – мол, иди гуляй, парнишка, у драйвера нет цифровой подписи. Как решить такую проблему?

Собственно, решений здесь ровным счетом два – либо избавиться вообще от проверки цифровых подписей, либо…добавить эту подпись самостоятельно! Ага, вы небось и не знали, что драйвера можно подписывать собственноручно? Век живи – век учись.

Но сначала узнаем, как можно отключить проверку цифровой подписи у драйверов.

Отключение проверки цифровых подписей у драйверов в Windows 7

Отключить сие безобразие можно в специальном режиме Windows 7, который выбирается при загрузке системы. Как правило, такая возможность актуальна для программ, что устанавливают свой драйвер без перезагрузки.

Для отключения следует открыть загрузочное меню Windows 7, для чего используется клавиша . Включим компьютер, подождем пока промелькнет текст BIOS и начинаем часто нажимать клавишу . Жмем-жмем и появится либо меню выбора операционной системы (если их несколько), либо загрузочное меню.

В первом случае выберите нужную версию Windows, затем снова жмите (надо успеть нажать до того, как Windows загрузится), после чего появится нужное нам меню.

В этом меню выберите параметр и нажмите клавишу .

В результате, Windows будет загружена в специальном режиме. Но не пугайтесь, от обычного он отличается только тем, что в нем нет проверки цифровой подписи у драйверов – и больше ничем. Достаточно перезагрузить Windows и обычный режим проверки снова будет включен.

Кстати, если устанавливать некоторые драйвера в таком режиме, вредная Windows все равно может показать предупреждение, что драйвер не подписан. Наплюйте на него, закройте это предупреждение, и драйвер будет все равно установлен.

Все это замечательно, но я хочу сам подписывать драйвера, ага! Об этом мы поговорим в следующем разделе.

Как вручную подписать драйвер в Windows 7

Сделать такое злодейство, как подпись драйвера, нам поможет программа DSEO (Driver Signature Enforcement Overrider). С помощью данной программы можно создавать собственные подписи драйверов. Учтите – чтобы программа работала, обязательно нужно , иначе фокуса не получится.

Сама программа простая как веник, и работать с ней чрезвычайно просто.

1. Запустите программу, щелкните на кнопке Next , затем еще раз на кнопке Next .
2. Выберите переключатель Enable Test Mode (тестовый режим), щелкните Next .
3. Выберите переключатель Sign a System File (подписать системный файл) и щелкните на кнопке Next .
4. Укажите путь к файлу драйвера (вроде C:\Windows\System32\Drivers\lkindrv.sys), затем снова щелкните на кнопке Next .
5. Таким же макаром подписывается необходимое количество драйверов. Осталось перезагрузиться и спокойно себе устанавливайте нужный драйвер.

Есть у такого метода и нюансы – данный тестовый режим будет включен постоянно. К слову сказать, он совершенно официально предназначен для тестирования новых драйверов. Иногда из-за него рядом с панелью задач отображается номер сборки Windows и указано, что операционная система работает в тестовом режиме. Из-за надписи можно не переживать, после выхода из тестового режима она исчезнет.

А как из него выйти? Запустить DSEO, выбрать переключатель Disable Test Mode и снова перезагрузиться.

Метод весьма действенный, причем он не изменяет системный загрузчик либо системные файлы Windows. Однако, есть и альтернативы, которые изменяют загрузчик для автоматического выбора пункта меню . Речь идет о программе ReadyDriverPlus и подробнее о ней в следующем разделе.

Программа ReadyDriverPlus

Программа ReadyDriverPlus позволяет сделать выбор пункта автоматическим. Другими словами, не придется постоянно давить кнопку при загрузке – мелочь, а приятно.

Любители компьютерных игр нередко сталкиваются с проблемой, при которой приложения, которые они хотели бы запустить, не работают. Люди тут же бросаются на форумы и в техподдержку за поиском решения. Одним из методов являются некоторые манипуляции с командной строкой. При этом мало кто точно поясняет, к чему приводят такие изменения. Речь идет о том, что делать, чтобы отключить проверку цифровой подписи драйверов Windows 7 (64 бита), да и других версий тоже.

Подпись

Давайте сначала разберемся, что такое метка на программном обеспечении и любых файлах, которая позволяет определить его создателя, а также гарантировать то, что ПО не было изменено после подписи.

В случае с драйверами операционная система проверяет их подлинность, а также совместимость с данной ОС. Кроме того, драйвер проверяется на отсутствие модификаций со стороны сторонних пользователей.

Если файл или драйвер содержат неправильную подпись или её нет совсем, это может означать либо то, что он создан непроверенным разработчиком, либо что данный файл был изменен (например, заражен вирусом). Впрочем, отсутствие подписи не гарантирует вредоносность драйверов, а её наличие не обязательно является залогом безопасности.

Пример

Начнем мы, как ни странно, с конкретного примера, когда вам может потребоваться знание "операционки" Windows 7. Отключить проверку цифровой подписи драйверов постоянно может потребоваться, например, если вы решились поиграть в игрушки от сервиса "Фогейм". Раньше вам было необходимо скачать специальный клиент, как сейчас у "Мэйл.ру", однако они решились отказаться от него и встроили всю систему в браузер.

Вот только вместе с новой методикой пришла и новая защита под названием Frost. Для того чтобы она работала, и нужно совершить рассматриваемые нами действия. Причем советы других пользователей будут вполне однозначны, но бесполезны. В итоге возникает две проблемы.

1. Почему уважающий себя игровой сервис заставляет защиту?
2. Почему данный способ не всегда помогает? А пользователь, расстроенный неудачной попыткой, забывает вернуть настройки к начальным.

Как видите, в Windows 7 отключить проверку цифровой подписи драйверов может быть необходимо, но насколько это полезно для системы и безопасности? Мы ни в коем случае не рекомендуем вам не доверять приведенным в примере сайтам, однако при возникновении проблем лучше обратитесь в техподдержку вместо пользовательских форумов. Вам помогут и подскажут специалисты, а не неизвестные люди с сомнительной репутацией.

Предупреждение

Перед тем как начать процедуру, о которой мы расскажем в данной статье, абсолютно точно определитесь и решите - а оно вам действительно надо? Вы абсолютно уверены, что и зачем собираетесь делать? Ведь если в Windows 7 отключить проверку цифровой подписи драйверов, безопасность вашей системы подвергается опасности.

С одной стороны, нет никаких проблем, если данную операцию необходимо провести для установки драйверов из надежного источника. Например, с лицензионного диска, а не купленного на рынке в ларьке. С другой же стороны, скачиваемые из интернета приложения с непроверенных сайтов и обменников. Скачав драйвер (приложение) в таком месте и отключив защиту, вы можете самостоятельно заразить ваш компьютер шпионом, который будет собирать данные, красть пароли или может даже подключить компьютер к сети для DDoS атак. В общем, решайте сами, насколько вам необходимо отключить проверку цифровой подписи драйверов Windows 7 (32 бита).

Первый способ

Наконец мы добрались до непосредственного рассмотрения вопроса. Существует несколько вариантов того, как отключить проверку цифровой подписи драйверов Windows 7 Home Basic 64 и других версий. Оба данных метода несильно различаются друг от друга и требуют практически одних и тех же действий. Итак, начнем.

1. Во-первых, нам необходимо включить командную строку, чтобы вы могли ввести необходимые команды. Для этого нажимаем "Пуск", затем переходим в "Мои программы" и в "Стандартные". Вам необходимо провести запуск данной утилиты от имени администратора. Если пользовательская запись, с которой вы работаете на компьютере, по умолчанию является единственной и имеет полные права, то можете просто в меню кнопки "Пуск" в поиск ввести
2. После этого в строку вводим bcdedit.exe /set nointegritychecks ON. Если вам потребуется снова включить проверку драйверов, нужно вместо параметра ON выставить OFF. Будьте внимательны и не перепутайте. Кажется, что ON по-английски - "включить", но на самом деле вы включаете службу, запрещающую проверку драйверов.

Второй способ

Следующий метод не сильно отличается от предыдущего. Чтобы в Windows 7 отключить проверку цифровой подписи драйверов, вам понадобится опять включить командную строку, как было описано в параграфе выше, и ввести следующую последовательность. После каждой из них необходимо подтвердить ввод, нажав Enter.

1. bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS
2. bcdedit.exe -set TESTSIGNING ON

Обязательно убедитесь, что задача была выполнена. Это можно понять по появившейся надписи "операция успешно выполнена". Только после этого проверка цифровой подписи будет отключена. Если вам нужно будет откатить изменения, которые внесли в ваш компьютер данные команды, то вам нужно повторить их в обратном порядке, за небольшими исключениями. Вместо команды ON -> OFF, а вместо DDISABLE - ENABLE.

Третий метод

Данный способ подойдет не всем, поскольку он позволяет лишь временно решить проблему, с которой мы сегодня пытаемся разобраться. Если вам необходимо установить и протестировать драйвера для какого-либо оборудования, то можете смело им воспользоваться. Но если речь идет, как уже говорилось, о системах защиты игр, которые не работают с включенной проверкой, то, к сожалению, эта методика вам не подойдет.

Для того чтобы в Windows 7 отключить проверку цифровой подписи драйверов, вам понадобится перезагрузить компьютер. Затем на этапе, когда обычно входите в БИОС, вам нужно нажать клавишу F8. После этого должно появиться окно с выбором вариантов загрузки и их настройками. Вас должна интересовать практически самая нижняя строка, первая над "нормальным запуском" - Disable driver signature enforcement.

Загрузив операционную систему с этим параметром, вы сможете установить нужный вам драйвер, однако при нормальной загрузке он перестанет работать. Так что в любом случае отключить проверку цифровой подписи драйверов Windows 7 (64) навсегда просто необходимо, если хотите работать с нужным вам драйвером.

Четвертый способ

Еще один метод подразумевает использование и настройку групповой политики в вашей операционной системе. Сразу стоит отметить, что этот способ работает далеко не на всех сборках операционных систем, так что не факт, что он вам подойдет. Теперь выполняем следующие действия.

1. Открываем меню "Пуск".
2. Вводим в поиск gpedit.msc.
3. Откроется окно со множество директорий. Вам необходимо будет проследовать по нижеуказанному пути.
4. Сначала выбираем пункт - "Конфигурация пользователя". После этого переходим в ветку "административные шаблоны" и выбираем "система". Последнее, что от вас потребуется - найти пункт "установка драйвера".
5. Выбираем параметр "Цифровая подпись". Щелкаем по нему дважды левой кнопкой, либо жмем чуть левее "Изменить параметр".
6. Ставим переключатель в левом верхнем углу на "Выключено".
7. Принимаем изменения.

Защита от нелицензионных драйверов должна начать работать сразу же, но для надежности можете перезагрузить компьютер. Если вы соберётесь восстанавливать значение по умолчанию, обратите внимание, что если указать "Предупредить" о неподписанном драйвере, то даже если вы продолжите его установку, он работать не будет.

Пятый метод

О данной возможности мы упомянем лишь вскользь. Данное действие мало того, что немного незаконно, но и сопряжено с немалым риском, ведь мы практически принудительно установим в компьютер непроверенный драйвер.

Если вам не помогли все предыдущие методы, вы всегда можете самостоятельно подписать драйвер. Для этого вам понадобится сам драйвер и две вполне легальные программы разработчика SDK for Windows и Driver Kit, естественно, последних версий, либо пиратский софт, использование которого может быть опаснее для вашего компьютера, чем те же драйвера, которые вы пытаетесь "насильно" установить на компьютер.

Перед тем как это делать, можете попробовать добавить драйвер вручную. Для этого запустите уже известным способом командную строку и прописать команду Pnputil -a c:\***.inf, где последнее значение - это путь к нужному драйверу. Если компьютер по-прежнему выдает ошибку, вам придется подписывать драйвер самостоятельно.

Заключение

И напоследок, что бы вы ни делали с операционной системой и какие бы изменения не вносили, если они не помогают вам решить вашу проблему, не забывайте всё возвращать как было. Помните, что как бы пользователи не критиковали операционную систему Windows, её создавали профессионалы, которые знают толк в программировании. Самостоятельно вмешиваясь в уже созданную, целостную структуру, вы многим рискуете.

Современные операционные системы непросто инсталлируют драйвера, они требуют, чтобы эти драйвера имели особую цифровую подпись. Иногда приходится обходить это требование и устанавливать драйвера без цифровой подписи. Если вы хотите установить в Windows 7 какое-то особое устройство или у вас на руках имеется не фирменный драйвер – тогда приходится обходить проверку цифровой подписи и требовать отключения этой функции Windows.

К сожалению Windows 7 не позволяет так же просто отключить проверку цифровых подписей драйверов, как предыдущие версии данной операционной системы (например, XP). Перед загрузкой драйвера любого устройства у вас обязательно потребуют цифровой идентификации данной программы в плане ее подписи. Если Windows 7 не обнаружит подпись и драйвер не пройдет проверку, то наиболее вероятное поведение ОС будет заключаться в отключении устройства.

С одной стороны необходимость наличия именно фирменных драйверов в Windows 7 является необходимостью насущной, а с другой – очень часто такие программы не проходят проверку и перед пользователем встает задача инсталлировать драйвер в обход системной защиты.

Иногда цифровая подпись в Windows 7 оказывается ярмом. Как сделать так, чтобы данная процедура не мешала установке драйвера? Иными словами, как отключить проверку цифровой подписи и избежать появления системного сообщения примерно такого типа, как на картинке ниже:

Давайте рассмотрим возможные альтернативы.

Особый способ загрузки системы

В Windows 7 существует одна интересная возможность вовсе отказаться от проверки подписей – речь идет об особом варианте загрузки системы. Отключение данной функции можно установить при старте ОС по нажатию клавиши F8. В результате появляется всем знакомое системное меню, в котором нужно выбрать пункт «Отключение обязательной проверки подписи драйвера» или в англоязычном варианте - «Disable Driver Signature Enforcement». Как только вы зайдете в Windows таким образом - все проверки будут сняты. Чтобы не быть голословными, приведем соответствующую картинку:

Однако у этого способа есть один минус. Загрузиться таким способом и протестировать оборудование можно. Но как только вы войдете в систему обычным способом – инсталляция оборудования слетит. Так что данный вариант можно предложить разве что для тестирования.

Применение особой групповой политики

Еще одна возможность заключается во включении особой групповой политики. Делать это нужно так:

• Заходим в редактор групповых политик. Для этого в окне «Выполнить» меню «Пуск» набираем команду gpedit.msc.
• На панели слева находим раздел под названием «User Configuration->Administrative Templates-> System->Driver Installation».
• На панели справа дважды щелкаем по надписи «Code Signing for Device Drivers».
• Появится окошко опций, в котором сверху нужно выставить переключатель «Enabled», а снизу выбрать значение «Ignore», так, как на рисунке:

Это позволит полностью отключить цифровую подпись драйверов в Windows 7 и без проблем устанавливать любое оборудование. Данный вариант не страдает недостатками, присущими альтернативе выше. Если вы выполните инсталляцию, то вы можете быть уверены, что она сохраниться и после перезагрузки системы.

Работаем с командной строкой

Как всегда на выручку приходит консоль Windows. С ее помощью отключение ненужной функции можно произвести так:

• Заходим в консоль по команде cmd в окне «Выполнить».
• Набираем следующую последовательность команд:

(после каждой из них жмем на «Enter»).

Затем перезапускаем компьютер, и любуемся полученным результатом. Это именно то, что нам было нужно.

Иное дело, что инсталляция неподписанных драйверов – мероприятие отнюдь не безопасное. Нужно это делать или нет решать вам самим. Ведь установка такого рода системных программ может закончиться крахом операционной системы. Хорошо если удастся откатить систему к первоначальному состоянию в безопасном режиме.

Но это далеко не всегда получается. Самый разумный выход – поискать подписанные драйвера устройств, и не морочить себе голову. Это можно сделать на сайтах производителей конкретного оборудования. Бывает так, что мы даже не думаем зайти на фирменный сайт, а хватаем первые попавшиеся системные программы на первом попавшемся сайте.

Чтобы этого не происходило, внимательно читайте руководство пользователя, прилагаемое к любой периферии – там наверняка вас направят в верном направлении.

Желаем вам удачи в этом деле!

Абсолютно все операционные системы Windows последних поколений чрезвычайно ужесточили требования, которые предъявляются к устанавливаемому программному обеспечению, причем не только к прикладному, но и к управляющему. В частности, это относится к драйверам «железных» и виртуальных устройств. Система постоянно проверяет так называемую цифровую подпись, которая удостоверяет издателя (разработчика). О том, как отключить проверку цифровой подписи драйверов в Windows 7 или системах рангом выше, далее и пойдет речь. Но для начала остановимся на том, что же это такое вообще и для чего нужно.

Что такое цифровая подпись и почему с ней возникают проблемы?

Собственно, сама цифровая подпись есть не что иное, как некая метка, наличие которой свидетельствует о легальности данного программного обеспечения и его полной безопасности. Кроме того, такая подпись говорит о том, что данное ПО было сертифицировано по международным стандартам и является полностью совместимым с поддерживаемыми операционными системами, в которых предполагается произвести установку соответствующих управляющих устройствами системных компонентов.

Однако самая основная причина, по которой бывает необходимо отключить проверку цифровой подписи драйверов (Windows 7 установлена на компьютере или более новая система, не столь важно), кроется в том, что основная база данных драйверов системы не всегда может содержать управляющие программы для нестандартных устройств или для оборудования тех производителей, которые не входят в список поддержки, хотя их устройства работают не хуже. В общем, картина получается весьма печальная: Windows не видит подписи и классифицирует драйвер при попытке инсталляции, как потенциально опасное или нежелательное ПО. Да, конечно, иногда под такие драйверы могут маскироваться и вирусы, но если пользователь точно уверен в безопасности драйвера (например, при загрузке его с сайта производителя оборудования), то придется отключить проверку цифровой подписи драйверов (Windows 7 пока берем в качестве примера, хотя для других систем предлагаемые решения абсолютно идентичны). Далее предлагается рассмотреть несколько основных методик с задействованием средств самих ОС или с использованием сторонних программ.

В принципе, обойти такие проверки можно еще на стадии инсталляции драйвера. Операционная система, как правило, выдает сообщение о том, что подпись отсутствует, а пользователю нужно просто игнорировать это сообщение и использовать строку «Все равно установить». Естественно, Windows начнет «плеваться», выдавая предупреждения еще и еще. Опять же нужно просто их игнорировать, а в конце концов нужное программное обеспечение будет установлено (правда, не факт, что устройство будет работать корректно, поскольку система в силу своих запретов и ограничений может банально заблокировать использование инсталлированного драйвера). Однако бороться с такими предрассудками Windows можно, причем совершенно элементарно (благо в ней самой полно инструментов, которые позволяют в течение пары минут отключить эти действия).

Как отключить проверку цифровой подписи драйверов Windows 7: способы

Что касается основных методик, которые применяются для выполнения действий такого рода, самыми основными и действенными принято считать следующие:

• отключение проверки при загрузке системы;
• изменение параметров групповых политик;
• редактирование ключей реестра (почти то же самое, что и предыдущий пункт, но с более высоким приоритетом);
• применение командной строки;
• подмена подписей с помощью специальных утилит.

Как отключить поверку цифровой подписи драйверов при загрузке системы?

Итак, начнем с простейшей методики. В Windows 7 отключить проверку цифровой подписи драйверов можно еще на стадии загрузки. Но для этого необходимо будет вызвать специальное загрузочное меню, нажав вначале старта клавишу F8 (как это многие делают для входа в режим безопасной загрузки или для восстановления системы).

Здесь просто выбирается соответствующая строка, после чего осуществляется рестарт системы в обычном режиме. Далее можно производить установку нужного драйвера, используя для этого либо инсталлятор, либо разделы «Диспетчера устройств», либо автоматизированные программы для установки обновлений драйверов.

Использование раздела управления групповыми политиками

Не менее эффективным выглядит и метод, позволяющий произвести отключение проверки цифровой подписи драйверов в Windows 8.1 и Windows 10 (или в седьмой версии) в редакторе параметров и разрешений групповой политики. Сразу же стоит сказать, что все далее описываемые действия лучше всего производить под учетной записью администратора, чтобы вызов некоторых разделов не оказался заблокированным.

Сам редактор вызывается из консоли «Выполнить» путем ввода строки gpedit.msc. Отключить проверку цифровой подписи драйверов с помощью групповой политики и использованием следующих разделов можно через конфигурацию пользователя с дальнейшим выбором административных шаблонов, далее - через раздел системы и установку драйвера.

В последнем разделе справа в окне редактора имеется параметр, та самая строка подписи, на которой нужно произвести двойной клик или вызвать окно редактирования через меню ПКМ.

Для установки нужной конфигурации есть два пути:

• полное отключение службы (активация строки «Отключено»);
• включенный режим с установкой параметра игнорирования, если система обнаруживает драйвер без подписи.

Оба решения абсолютно равнозначны, хотя в идеале лучше воспользоваться именно первым вариантом, поскольку при использовании второго решения для некоторых типов программ все равно может выдаваться соответствующее уведомление, что может, мягко говоря, несказанно раздражать. Далее остается только сохранить сделанные изменения и произвести полную перезагрузку.

Манипуляции с системным реестром

Аналогично вышеописанным действиям в Windows 7 отключить проверку цифровой подписи драйверов можно и через редактор реестра. В принципе, это своего рода дублирование установки параметров в групповых политиках, но изменение ключей реестра имеет более высокий приоритет. Иными словами, если изменить установки в групповых политиках, поменять их в реестре можно. Но когда параметры были настроены в реестре, в групповых политиках их поменять будет невозможно.

Итак, сначала от имени администратора вызывается редактор (regedit в консоли «Выполнить»), после чего в ветке HKLM через директории SOFTWARE и Policies осуществляется переход по дереву разделов до каталога Driver Signing. Справа нужно отредактировать ключ BehaviorOnFailedVerify, присвоив ему значение 0. Если такая запись отсутствует, ключ DWORD необходимо будет создать самостоятельно.

Сохранять изменения не нужно (это происходит автоматически). После выхода из редактора, как и во всех остальных случаях, производится перезагрузка.

Отключение службы из командной строки: способ первый

В Windows 7 отключить проверку цифровой подписи драйверов можно и через командную консоль, запущенную с правами админа. Для этого применяется два основных метода.

Первый вариант состоит в том, чтобы в консоли прописать сочетание, показанное выше, дождаться появления сообщения об успешном выполнении операции, выйти из консоли и произвести перезагрузку.

Использование командной консоли: способ второй

Вторая методика практически аналогична первой, только в командной строке вписываются сочетания, изображенные на картинке ниже.

Далее, как обычно, следует рестарт. Способ может показаться несколько неудобным по причине ввода не одной, а двух команд, тем не менее и такое решение сбрасывать со счетов нельзя, ведь в данном случае рассматриваются все доступные варианты действий.

Применение сторонних утилит

Наконец, в Windows 7 отключить проверку цифровой подписи драйверов можно попытаться и с использованием разного рода программ, позволяющих либо отключать системные функции ОС, либо просто подменять подписи на действительные.

В качестве самых простых утилит подойдут программы с общим названием Windows Manager, выпускаемые для версий от седьмой до десятой включительно. Что же касается подмены, можно воспользоваться и другими приложениями. Но проблема состоит в том, что драйвер установить можно, но после удаления самой утилиты он «вылетит» автоматически. Так что полагаться на такие программы-приложения не стоит. «Вылет» драйвера в такой ситуации может привести даже к тому, что система не просто зависнет или выдаст какое-то сообщение о возникших проблемах. А ведь не исключается даже появление BSoD, вследствие чего решать проблемы придется уже на другом уровне. Решения тут достаточно просты, но, как говорится, лучше не рисковать.

Действия с «Защитником Windows» для десятой модификации

В «Виндовс 10» одним из вариантов вышеописанных действий является полное отключение службы Windows Defender, если она активна. Обратите внимание, что такие действия не требуются, если в системе имеется любой другой антивирусный пакет (в этом случае «Защитник» блокируется автоматически).

Отключение «родного» компонента производится через меню параметров с выбором раздела системы, где для опций Windows Defender отключается облачная защита и защита в реальном времени.

Вот, собственно, и все основные решения, которые между собой являются совершенно равнозначными, если только не брать в расчет действия по отключению инструментария «Защитника» в Windows 10. Впрочем, как уже говорилось, при активном состоянии установленного антивируса такие действия не требуются.

Да, и вот еще что. Если по каким-либо причинам все описанные действия должного результата не дают или их выполнение оказывается невозможным по причине слишком сильных ограничений со стороны так называемого суперадминистратора, попробуйте снизить уровень контроля «учеток» UAC (доступ к данному разделу можно получить, вбив искомое сокращение в поле поиска) или попытайтесь проделать все это с использованием загрузки в Safe Mode. В некоторых случаях такой подход может явиться единственно правильным решением. Но в большинстве случаев даже при установленных опциях по умолчанию такие действия не требуются (они нужны только тогда, когда настройки безопасности кардинально менялись).

Однако напоследок стоит напомнить всем без исключения пользователям о том, что заниматься отключением проверок рекомендуется исключительно в тех случаях, когда точно известно, что программное обеспечение загружено с ресурса, заслуживающего доверия и не содержит явных и неявных угроз работоспособности операционной системы (например, при скачивании с сайта производителя устройства или разработчика драйвера).

На крайний случай для обеспечения безопасности после загрузки файлы следует проверить на вирусы любым доступным сканером (желательно портативного типа, не зависящего от установленного штатного средства защиты). Для этих целей прекрасно подойдут утилиты наподобие KVRT или Dr.Web CureIt!, которые способны выявлять практически все известные угрозы и вредоносные коды, не требуя установки на жесткий диск, что может спровоцировать появление конфликтов со штатным антивирусом на программном уровне.

Все 64 битные версии Windows, начиная с Windows 7, по умолчанию запрещают установку драйверов устройств, которые не подписаны с помощью корректной цифровой подписи. Неподписанные драйвер блокируются операционной системой. Наличие цифровой подписи гарантирует (в какой-то мере), что драйвер выпущен конкретным разработчиком или вендором, а его код не был модифицирован после того, как он был подписан.

Сегодня мы покажем, как можно самостоятельно подписать любой неподписанный драйвер для 64 битной версии Windows 10 или Windows 7 .

Предположим, что у нас имеется драйвер некого устройства для x64 Windows 10 или Windows 7, у которого отсутствует цифровая подпись (в нашем примере это будет драйвер для довольно старой видеокарты). Архив с драйверами под нашу версию Windows (мне удалось найти драйвер для Windows Vista x64) был скачан с сайта производителя и его содержимое распаковано в каталог c:\tools\drv1\. Попробуем установить драйвер, добавив его в с помощью стандартной утилиты pnputil .

Pnputil –a "C:\tools\drv1\xg20gr.inf"

Примечание . Эта и все последующие команды выполняются в командной строке, запущенной с правами администратора.

В процессе его установки Windows 7 отобразит предупреждение о том, что система не может проверить цифровую подпись данного драйвера.

В Windows 10 такое предупреждение даже не появляется, а в консоли появляется предупреждение, что в стороннем INF файле отсутствует информация о цифровой подписи.

При попытке установить драйвер из проводника Windows, если вы щелкните ПКМ по inf файлу драйвера и выберите Install / Установить появится ошибка:

The third-party INF does not contain digital signature information.

INF стороннего производителя не содержит информации о подписи.

Попробуем подписать данный драйвер с помощью самоподписанного сертификата.

Утилиты, необходимые для подписывания драйвера

Для работы нам понадобится скачать и установить (с настройками по умолчанию) следующие инструменты разработчика приложений для Windows.

• Windows SDK (или Microsoft Visual Studio 2005 или выше) для вашей версии Windows – в состав этих пакетов входит Windows SDK Signing tools for Desktop, в которую включена необходимая нам утилита — signtool.exe;
• Windows Driver Kit 7.1.0 - ISO образа GRMWDK_EN_7600_1.ISO размером 649 Мб

Совет . В Windows 10 можно использовать более новые версии Windows SDK и Windows Driver Kit. Перед установкой этих инструментов, убедитесь, что в системе установлен.NET Framework 4.

Создаем самоподписанный сертификат и закрытый ключ

Создадим в корне диска каталог C:\DriverCert.

Откроем командную строку и перейдем в следующий каталог:

cd C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1\bin

Создадим самоподписанный сертификат и закрытый ключ, выданный, допустим, для компании Winitpro:

makecert -r -sv C:\DriverCert\myDrivers.pvk -n CN="Winitpro" C:\DriverCert\MyDrivers.cer

Во время создания утилита попросит указать пароль для ключа, пусть это будет P @ ss 0 wrd .

На основе созданного сертификата создадим публичный ключ для сертификата издателя ПО (PKCS).

cert2spc C:\DriverCert\myDrivers.cer C:\DriverCert\myDrivers.spc

Объединим публичный ключ (.spc) и персональный ключ (.pvk) в одном файле сертификата формата Personal Information Exchange (.pfx).

pvk2pfx -pvk C:\DriverCert\myDrivers.pvk -pi P@ss0wrd -spc C:\DriverCert\myDrivers.spc -pfx C:\DriverCert\myDrivers.pfx -po P@ss0wrd

Совет . Вы можете создать самоподписанный сертификат типа Code Signing без использования сторонних средств с помощью командлета PowerShell 5.0 — .

$cert = New-SelfSignedCertificate -Subject "Winitpro” -Type CodeSigningCert -CertStoreLocation cert:\LocalMachine\My

Затем нужно экспортировать данный сертфикат в pfx файл с паролем:

$CertPassword = ConvertTo-SecureString -String “P@ss0wrd” -Force –AsPlainText
Export-PfxCertificate -Cert $cert -FilePath C:\DriverCert\myDrivers.pfx -Password $CertPassword

Совет . Несмотря на то, что сертификат имеет ограниченный срок действия, истечение срока действия сертификата CodeSigning означает, что вы не сможете создавать новые сигнатуры. Срок действия драйвера, уже подписанного этим сертификатом, бессрочен (либо старые сигнатуры действуют в течении указанного timestamp).

Генерируем CAT файл драйвера

Создадим каталог C :\ DriverCert \ xg и скопируем в него все файлы из каталога, в который первоначально был распакован архив с драйвером (c:\tools\drv1\). Убедить что среди файлов имеются файлы с расширением . sys и . inf (в нашем случае xg20grp.sys и xg20gr).

Перейдем в каталог:

cd C:\WinDDK\7600.16385.1\bin\selfsign

На основе inf файла с помощью утилиты inf2cat.exe (входит в состав Windows Driver Kit -WDK) сгенерируем для нашей платформы cat файл (содержит информацию о всех файлах пакета драйвера).

inf2cat.exe /driver:"C:\DriverCert\xg" /os:7_X64 /verbose

Чтобы убедитесь, что процедура прошла корректно, проверьте, что в логе присутствуют сообщения:

Signability test complete .
и
Catalog generation complete .

Совет . В моем случае команда Inf2Cat.exe вернула ошибку:

Signability test failed.

22.9.7: DriverVer set to incorrect date (must be postdated to 4/21/2009 for newest OS) in \hdx861a.inf

Для исправления ошибки нужно в секции найти строку с DriverVer= и заменить ее на:

После выполнения команды в каталоге драйвера должен обновиться файл g20gr.cat

Подписываем драйвер самоподписанным сертификатом

Перейдите в каталог:

cd "C:\Program Files (x86)\Windows Kits\10\bin\10.0.17134.0\x64"

Подпишем комплект файлов драйвера созданным нами сертификатом, в качестве сервиса таймстампа (штамп времени) воспользуемся ресурсом Globalsign. Следующая команда подпишет CAT файл цифровой подписью с помощью сертификата, хранящегося в PFX-файл, защищенном паролем.

signtool sign /f C:\DriverCert\myDrivers.pfx /p P@ss0wrd /t http://timestamp.globalsign.com/scripts/timstamp.dll /v "C:\DriverCert\xg\xg20gr.cat"

Если файл подписан успешно, должна появится надпись:

Successfully signed: C:\DriverCert\xg\xg20gr.cat
Number of files successfully Signed: 1

Примечание . Цифровая подпись драйвера содержится в.cat файле, на который ссылается.inf файл драйвера. С помощью следующей команды можно проверить цифровую подпись драйвера в cat файле:

SignTool verify /v /pa c:\DriverCert\xg\xg20gr.cat

Лидо в свойствах файла на вкладке Digital Signatures.

CAT файл содержит цифровые подписи (отпечатки / thumbprints) всех файлов, которые находятся в каталоге драйвера (файлов, которые указаны в INF файле в секции CopyFiles ). Если любой из этих файлов был изменен, то контрольная сумма файлов не будет совпадать с данными в CAT файле, в результате установка такого драйвера закончится ошибкой.

Установка сертификата

Т.к. созданный нами сертификат является самоподписанным, система по-умолчанию ему не доверяет. Добавим наш сертификат в локальное хранилище сертификатов. Сделать это можно с помощью команд:

certmgr.exe -add C:\DriverCert\myDrivers.cer -s -r localMachine ROOT
certmgr.exe -add C:\DriverCert\myDrivers.cer -s -r localMachine TRUSTEDPUBLISHER

Или из графического мастера добавления сертификатов (сертификат нужно поместить в хранилища Trusted Publishers и Trusted Root Certification Authorities локальной машины ). В домене вы можете централизованно .

Примечание . Проверить наличие созданного нами сертификата в доверенных можно, открыв оснастку управления сертификатами (certmgr.msc) и проверив наличие созданного нами сертификата (выдан для winitpro) в соответствующих хранилищах.

Примечание . При проверке хранилища сертификатов с помощью утилиты этот сертификат будет отображаться как недоверенный, т.к. он отсутствует в списке со списком корневых сертификатов Microsoft (этот список нужно периодически ).

Установка драйвера, заверенного самоподписанным сертификатом

Попробуем еще раз установить подписанный нами драйвер, выполнив команду:

Pnputil –i –a C:\DriverCert\xg20\xg20gr.inf

Теперь в процессе установки драйвера, окна-предупреждения об отсутствующей цифровой подписи драйвера не появится.

Successfully installed the driver on a device on the system.
Driver package added successfully.

В Windows 7 появляется такое предупреждение. о том, уверены ли вы, что хотите установить этот драйвер (в Windows 10 x64 1803 такое всплывающее окно не появляется). Нажав «Install », вы установите драйвер в системе.

Если по каким-то причинам драйвер не устанавливается, подробный лог установки драйвера содержится в файле C :\Windows \inf \setupapi .dev .log . Этот лог позволит вам получить более подробную информацию об ошибке установки. В большинстве случаем возникает ошибка «Driver package failed signature validation» — скорее всего это означает, что сертификат драйвера не добавлен в доверенные сертификаты.

Если установка драйвера прошла успешно, в файле setupapi.dev.log будут примерно такие строки:

>>> >>> Section start 2018/07/22 23:32:57.015 cmd: Pnputil -i -a c:\DriverCert\xg\xg20gr.inf ndv: Flags: 0x00000000 ndv: INF path: C:\WINDOWS\System32\DriverStore\FileRepository\xg20gr.inf_amd64_c5955181485ee80a\xg20gr.inf inf: {SetupCopyOEMInf: C:\WINDOWS\System32\DriverStore\FileRepository\xg20gr.inf_amd64_c5955181485ee80a\xg20gr.inf} 23:32:57.046 inf: Copy style: 0x00000000 inf: Driver Store Path: C:\WINDOWS\System32\DriverStore\FileRepository\xg20gr.inf_amd64_c5955181485ee80a\xg20gr.inf inf: Published Inf Path: C:\WINDOWS\INF\oem23.inf inf: {SetupCopyOEMInf exit (0x00000000)} 23:32:57.077 <<< Section end 2018/07/22 23:32:57.155 <<<

Как вы видите, для установки самоподписанного драйвера нам даже не пришлось отключать проверку цифровой подписи драйверов с помощью bcdedit.exe, как описано (команды bcdedit.exe /set loadoptions DISABLE_INTEGRITY_CHECKS и bcdedit.exe /set testsigning ON).