Содержание
- Способ 1: Импорт цифровой подписи
- Способ 2: Ручное создание подписи
- Шаг 1: Предварительные действия
- Шаг 2: Генерация ключа и сертификата
- Шаг 3: Создание конфигурационного файла
- Шаг 4: Создание подписи для драйвера
- Вопросы и ответы
Перед началом инструкций отметим, что иногда бывает проще отключить проверку цифровых подписей в операционной системе, нежели вручную подписывать драйвер. К тому же есть и альтернативные варианты инсталляции неподписанного ПО, о чем более детально читайте в других руководствах на нашем сайте, воспользовавшись ссылками ниже.
Подробнее:
Отключение проверки цифровой подписи драйверов в Windows 7
Установка драйвера без проверки цифровой подписи в Windows
Способ 1: Импорт цифровой подписи
Первый вариант подходит тем пользователям, кто собирается устанавливать его в операционную систему только один раз и не заинтересован в дальнейшем распространении. Этот способ лучше всего использовать в тех ситуациях, когда вы скачали драйвер, но оказалось, что он не подписан и инсталлировать его не получается. Тогда от вас требуется перенести его конфигурацию в Windows 7, что осуществляется так:
- Перейдите в папку с драйвером и отыщите там файл формата INF, который и должен быть установлен в ОС. Щелкните по нему ПКМ, чтобы вызвать контекстное меню.
- Внизу списка выберите пункт «Свойства».
- Переместитесь на вкладку «Безопасность».
- Полностью выделите имя файла и скопируйте его клавишами Ctrl + C или вызвав контекстное меню нажатием ПКМ.
- Запустите «Командную строку» от имени администратора любым удобным методом, например, отыскав приложение через меню «Пуск».
- Введите там команду
pnputil.exe –a
и через пробел вставьте скопированное ранее имя. Можно поступить и по-другому, используяcd
. Тогда через нее нужно переместиться к каталогу с драйвером и вписатьpnputil.exe –a + название файла
. - Ожидайте окончания обработки компонента, что займет буквально несколько секунд. После на экране отобразится уведомление о том, что импорт настроек произошел успешно.
Теперь драйвер считается зарегистрированным. Если инсталляция остальных компонентов должна происходить при помощи исполняемого файла, перейдите в каталог с программным обеспечением и запустите его, чтобы завершить установку.
Способ 2: Ручное создание подписи
Этот способ более сложный, поэтому пришлось даже разделить его на этапы во избежание проблем с пониманием. Его суть заключается в использовании фирменных средств разработчика от Microsoft, чтобы создать подпись для пользовательского драйвера. Особое внимание этому методу стоит уделить тем, кто заинтересован в ручной разработке драйверов.
Шаг 1: Предварительные действия
Компания Майкрософт распространяет все необходимые утилиты в свободном доступе, однако по умолчанию они отсутствуют в Windows 7, поэтому сначала придется заняться их загрузкой и инсталляцией.
Перейти на официальный сайт Microsoft для скачивания Windows SDK for Windows 7
- Откройте ссылку выше, чтобы открыть страницу скачивания Microsoft Windows SDK, где нажмите по кнопке «Download».
- Загрузка инсталлятора начнется в автоматическом режиме: ожидайте ее окончания, а затем запустите исполняемый файл.
- При появлении окна контроля учетных записей разрешите внесение изменений.
- Следуйте отобразившейся на экране инструкции и переходите далее.
- По ссылке, ведущей на страницу приложения, загрузите Windows Driver Kit.
Перейти на официальный сайт Microsoft для скачивания Windows Driver Kit 7.1.0
- Это целый пакет разных утилит и дополнительных компонентов, распространяющийся в виде ISO-образа. По завершении загрузки вам необходимо смонтировать его через любую удобную программу, о чем читайте по ссылке далее.
Подробнее: Как смонтировать образ в программе DAEMON Tools
- После запуска диска через виртуальный привод откройте EXE-файл для начала инсталляции.
- Укажите версию операционной системы.
- Выберите для установки все присутствующие инструменты, отметив их галочками, и завершите операцию.
- Затем откройте корень системного логического тома жесткого диска, где создайте папку с названием «DriverCert». В нее будут помещены все зависящие от драйвера объекты для удобства взаимодействия с ними.
- Переходите по стандартным расположениям установленных компонентов, чтобы запомнить путь ко всем каталогам. Вы можете скопировать их или записать, чтобы не запутаться при выполнении следующих действий.
Сейчас уже существуют новые версии рассмотренных инструментов, но вам нужно загружать только те сборки, на которые мы оставили ссылки. Связано это с тем, что разработчики в новых версиях прекратили поддержку используемых далее утилит, что не позволит вручную подписать драйвер. Убедитесь в том, что все компоненты установлены, перезагрузите компьютер и переходите далее.
Шаг 2: Генерация ключа и сертификата
Сертификат необходим драйверу для того, чтобы определить его подлинность, а сгенерированные ключи обезопасят сам файл от несанкционированного изменения. Создание таких компонентов — обязательное условие от Microsoft, поэтому каждому пользователю придется выполнить следующие действия:
- Запустите «Командную строку» от имени администратора.
- Введите команду
cd C:Program Files (x86)Microsoft SDKsWindowsv7.1bin
, чтобы перейти к папке с объектами SDK. Если вы изменяли директорию при установке, замените путь на актуальный. Активируйте команду нажатием по клавише Enter. - Задействуйте утилиту, входящую в состав SDK, чтобы сгенерировать сертификат, вписав в консоль команду
makecert -r -sv C:DriverCertmyDrivers.pvk -n CN="NameCompany" C:DriverCertMyDrivers.cer
. Замените NameCompany на название изготовителя драйвера или впишите произвольное. - На экране отобразится форма для создания пароля к закрытому ключу, а от вас требуется ввести его в соответствующем поле и подтвердить.
- Для продолжения работы в новом окне введите уже присвоенный пароль.
- После автоматического закрытия окна ознакомьтесь с содержимым консоли: если в конце вы видите уведомление «Succeeded», значит, генерация прошла удачно и можно двигаться далее.
- Следующий обязательный этап заключается в создании публичного ключа, и он будет доступен всем желающим внедрить драйвер в программное обеспечение. Для этого вставьте команду
cert2spc C:DriverCertmyDrivers.cer C:DriverCertmyDrivers.spc
. - Сообщение в консоли должно свидетельствовать об успешном создании публичного ключа.
- Закрытый и публичный ключ должны быть объединены в один компонент, а для этого используется команда
pvk2pfx -pvk C:DriverCertmyDrivers.pvk -pi P@ss0wrd -spc C:DriverCertmyDrivers.spc -pfx C:DriverCertmyDrivers.pfx -po PASSWORD
. Замените PASSWORD на ранее созданный пароль закрытого ключа.
Это был самый простой этап создания цифровой подписи для драйвера, в ходе которого практически никогда не возникает никаких ошибок. Однако если на экране отобразились какие-то предупреждающие уведомления, не игнорируйте их, читайте содержимое и исправляйте ситуацию в соответствии с находящимися там рекомендациями.
Шаг 3: Создание конфигурационного файла
Конфигурационный файл необходим каждому драйверу, ведь именно в нем и будут храниться основные сведения. В дальнейшем он может пригодиться, если, например, понадобится изменить дату последнего изменения или внести коррективы в название версии драйвера. Сначала понадобится обратиться в заранее созданную папку «DriverCert», куда перенесите файлы драйвера, для которого и создается подпись, выделив для них отдельный подкаталог. После запустите консоль и выполните такие действия:
- Для использования следующей утилиты снова придется переместиться в папку с набором инструментов от Майкрософт, а для этого задействуйте команду
cd C:WinDDK7600.16385.1binselfsign
. - Предварительно откройте каталог с драйвером и убедитесь, что там есть два файла с расширениями INF и SYS, ведь они будут задействованы для следующего формирования конфигурационного файла. После введите
inf2cat.exe /driver:"C:DriverCertDRIVER" /os:7_X64 /verbose
, заменив DRIVER на название ранее созданной папки с файлами. Подтвердите выполнение команды нажатием на Enter.
Следите за состоянием «Командной строки» и ожидайте появления на экране уведомлений «Signability test complete» и «Catalog generation complete». Во время процедуры создания файла настоятельно не рекомендуется выполнять других действий на компьютере, поскольку это может вызвать сбои в функционировании утилиты.
Отдельно отметим самую частую ошибку, которая появляется при создании конфигурационного файла. Ее текст выглядит примерно так: «22.9.7: DriverVer set to incorrect date (must be postdated to 4/21/2009 for newest OS) in XXXXX.inf», а вызывает ее некорректно установленная дата создания объекта. Если такая проблема возникла, откройте целевой файл, имя которого и указано в ошибке, через стандартный «Блокнот», где отыщите строку «DriverVer=» и поменяйте ее значение на 05/01/2009,9.9.9.9
. Сохраните изменения и повторно выполните создание конфигурационного файла.
Шаг 4: Создание подписи для драйвера
Когда все предыдущие этапы завершены, остается только подписать сам драйвер, что выполняется при помощи добавленных ранее средств разработчика через уже привычную Командную строку.
- Откройте консоль от имени администратора и напишите команду
cd "C:Program Files (x86)Windows Kits10bin10.0.17134.0x64"
. - Далее вставьте содержимое
signtool sign /f C:DriverCertmyDrivers.pfx /p PASSWORD /t http://timestamp.globalsign.com/scripts/timstamp.dll /v "C:DriverCertxgxg20gr.cat"
, заменив PASSWORD на пароль закрытого ключа, который создавался ранее. Во время данной операции будет задействован онлайн-сервис Globalsign, отвечающий за установку штампа времени, поэтому убедитесь в наличии подключения к интернету. Появившаяся в консоли строка Successfully signed: C:DriverCertxgxg20gr.cat Number of files successfully Signed: 1 уведомит об успешном завершении процесса. - По очереди вставьте две команды ниже, устанавливающие сертификат.
certmgr.exe -add C:DriverCertmyDrivers.cer -s -r localMachine ROOT
certmgr.exe -add C:DriverCertmyDrivers.cer -s -r localMachine TRUSTEDPUBLISHER
Следуйте отобразившимся в графическом меню инструкциям, чтобы завершить подпись. На этом процесс считается оконченным, а подписанный драйвер остается только вручную установить, если это требуется.
Подробнее: Ручная установка драйверов в Windows 7
Windows 10, 8.1 и Windows 7 позволяют отключить обязательную проверку цифровой подписи драйверов и установить неподписанный драйвер, однако если в последних версиях ОС это нужно сделать на постоянной основе, изменение опций с помощью bcdedit не помогает. Однако, может помочь самостоятельная подпись драйвера и его последующая установка, о чем и поговорим.
В этой инструкции подробно о том, как самостоятельно подписать драйвер для Windows 10, 8.1 или Windows 7 x64 или 32-бит (x86) для последующей установки в системе на постоянной основе без отключения проверки цифровой подписи драйверов, избежав при этом ошибок наподобие «INF стороннего производителя не содержит информации о подписи».
Что потребуется для подписи драйвера
Для того, чтобы выполнить все описанные далее шаги, скачайте и установите следующие инструменты с сайта Майкрософт:
- Microsoft Windows SDK for Windows 7 https://www.microsoft.com/en-us/download/details.aspx?id=8279
- Windows Driver Kit 7.1.0 https://www.microsoft.com/en-us/download/details.aspx?id=11800
Из первого набора достаточно будет установить Tools, из второго (представляет собой ISO-образ с установщиком, с которого нужно запустить KitSetup.exe) — выбрать Build Environments и Tools.
Обратите внимание: это не последние версии наборов инструментов, но они в равной степени подойдут для самостоятельной подписи драйверов для последующей установки во всех ОС от Windows 10 до Windows 7, при этом в инструкции не потребуется вдаваться в некоторые дополнительные нюансы.
Процесс самостоятельной подписи драйвера
В процессе для того, чтобы подписать драйвер самостоятельно, нам потребуется: создать сертификат, подписать драйвер этим сертификатом, установить сертификат в системе и установить драйвер. Начнем.
- Создайте в корне диска C какую-либо папку (так к ней проще будет обращаться в дальнейшем), например, C:cert, где мы будем работать с сертификатами и драйверами.
- Запустите командную строку от имени администратора (нужны для 18-го шага). Далее используем следующие команды по порядку. Файлы драйвера пока не потребуются. Во время выполнения второй команды вас попросят ввести пароль, я использую password в окне запроса и далее в командах, вы можете использовать свой.
-
cd "C:Program FilesMicrosoft SDKsWindowsv7.1bin"
-
makecert -r -sv C:certdriver.pvk -n CN="remontka" C:certdriver.cer
-
cert2spc C:certdriver.cer C:certdriver.spc
-
pvk2pfx -pvk C:certdriver.pvk -pi password -spc C:certdriver.spc -pfx C:certdriver.pfx -po password
- До этого этапа всё должно пройти как на скриншоте ниже, командную строку не закрываем.
- В папке C:cert создайте вложенную папку, например, drv и поместите туда свои файлы драйвера. Но: если вам требуется драйвер только для x64, не копируйте .inf файл для x86 систем в эту папку и наоборот. В командной строке используем следующие команды:
-
cd C:WinDDK7600.16385.1binselfsign
-
inf2cat.exe /driver:"C:certdrv" /os:7_X64 /verbose
- В предыдущей команде для драйвера 32-бит укажите X86 вместо X64. Если будет предложено скачать .NET Framework, согласитесь, установите, а затем заново выполните команду. В идеале вы должны будете получить сообщение об успешном создании .cat файла для подписи. Однако, возможны ошибки, о наиболее частых — следующие два пункта. После исправления ошибок повторите команду из пункта 10.
- DriverVer set to incorrect date — возникает при дате в файле драйвера до 21 апреля 2009 года. Решение: откройте файл .inf из папки drv в текстовом редакторе (можно в блокноте) и в строке DriverVer установите другую дату (формат: месяц/день/год).
- Missing AMD64 CatalogFile entry (для 64-бит) или Missing 32-bit CatalogFile entry. Решение: откройте файл .inf из папки drv в текстовом редакторе и в разделе [Version] добавьте строку CatalogFile=catalog.cat
- В итоге вы должны получить сообщение: Catalog generation complete с указанием пути к файлу каталога, в моем случае – C:certdrvcatalog.cat. Далее используем следующие команды (требуется подключение к Интернету).
-
cd "C:Program FilesMicrosoft SDKsWindowsv7.1bin"
-
signtool sign /f C:certdriver.pfx /p password /t http://timestamp.verisign.com/scripts/timestamp.dll /v C:certdrvcatalog.cat
- Результат подписи файла драйвера без ошибок на скриншоте ниже. Следующий шаг — добавить самоподписанный сертификат в список доверенных в системе, сделать это можно следующими двумя командами по порядку
-
certmgr.exe -add C:certdriver.cer -s -r localMachine ROOT certmgr.exe -add C:certdriver.cer -s -r localMachine TRUSTEDPUBLISHER
- В результате вы должны получить сообщение «CertMgr Succeeded». Если Failed или certmgr.exe не является внутренней или внешней командой — убедитесь, что командная строка запущена от имени администратора, а вы находитесь в нужной папке (см. 15 шаг).
И вот теперь можно закрыть командную строку и установить драйвер из папки C:certdrv с помощью диспетчера устройств, или нажав правой кнопкой по .inf файлу и выбрав пункт «Установить». Потребуется подтвердить установку драйвера в окне «Не удалось проверить издателя этих драйверов» — нажать «Все равно установить этот драйвер».
Обратите внимание, что возможные ошибки в диспетчере устройств, отображаемые для устройства с самостоятельно подписанным драйвером обычно не имеют отношения непосредственно к процессу подписи (та же ошибка для них будет появляться и без подписи, при простом отключении проверки цифровой подписи драйверов в особых вариантах загрузки). Т.е. искать причину в этом случае нужно в чем-то ещё и читать подробную инструкцию по использованию драйвера (например, в случае драйверов для FlashTool).
Все 64 битные версии Windows по умолчанию запрещают установку драйверов устройств, которые не подписаны с помощью корректной цифровой подписи. Неподписанные драйвер блокируются операционной системой. Наличие цифровой подписи гарантирует, что драйвер выпущен доверенным разработчиком или вендором, а его код не был модифицирован.
В Windows x64 вы можете отключить проверку цифровой подписи устанавливаемого драйвера: с помощью групповой политики или тестового режима загрузки системы (подробнее все способы описаны в статье Отключаем проверку цифровой подписи для установки неподписанных драйверов в Windows).
Сегодня мы покажем, как можно самостоятельно подписать любой неподписанный драйвер для x64 битной версии Windows (инструкция применима для Windows 11, 10, 8.1 и 7).
Содержание:
- Создаем самоподписанный сертификат драйвера
- Генерируем CAT файл драйвера
- Подписываем драйвер самоподписанным сертификатом
- Установка драйвера, заверенного самоподписанным сертификатом
- Драйверы Kernel-Mode и User-Mode
Предположим, что у нас имеется драйвер некого устройства для x64 Windows 10, у которого отсутствует цифровая подпись (в нашем примере это будет драйвер для довольно старого графического адаптера видеокарты). Я скачал архив с драйверами для Windows с сайта производителя (мне удалось найти драйвер только для Windows Vista x64). Архив с драйвером я распаковал в каталог c:toolsdrv1. Попробуем установить драйвер, добавив его в хранилище драйверов Windows с помощью стандартной утилиты pnputil.
Pnputil –a "C:toolsdrv1xg20gr.inf"
Примечание. Эта и все последующие команды выполняются в командной строке, запущенной с правами администратора.
При установке драйвера в Windows 7 появляется предупреждение о том, что ОС не может проверить цифровую подпись драйвера.
В Windows 10 (21H1) появляется предупреждение:
Не удалось добавить пакет драйвера: INF стороннего производителя не содержит информации о подписи.
Adding the driver package failed : The third-party INF does not contain digital signature information.
Такая же ошибка появляется при установке драйвера из проводника Windows (щелкните ПКМ по inf файлу драйвера и выберите Install / Установить):
The third-party INF does not contain digital signature information.
INF стороннего производителя не содержит информации о подписи.
Попробуем подписать данный драйвер с помощью самоподписанного сертификата.
Для работы нужно скачать и установить следующие инструменты разработчика приложений для вашей версии Windows.
- Windows SDK (или Microsoft Visual Studio 2005 или выше) для вашей версии Windows. В состав этих пакетов входит Windows SDK Signing tools for Desktop, в которую включена необходимая нам утилита —
signtool.exe
; - Windows Driver Kit (WDK) — https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk
Совет. Перед установкой этих инструментов, проверьте, что в Windows установлен .NET Framework 4.
Создаем самоподписанный сертификат драйвера
Создайте в корне диска каталог
C:DriverCert
.
Для создания самоподписанного сертификата типа Code Signing можно использовать PowerShell командлет New-SelfSifgnedCertificate. В этом примере мы создадим самоподписанный сертификат со сроком действия 3 года.
$todaydate = Get-Date
$add3year = $todaydate.AddYears(3)
$cert = New-SelfSignedCertificate -Subject "Winitpro” -Type CodeSigningCert -CertStoreLocation cert:LocalMachineMy -notafter $add3year
Затем нужно экспортировать данный сертификат в pfx файл с паролем:
$CertPassword = ConvertTo-SecureString -String “[email protected]” -Force –AsPlainText
Export-PfxCertificate -Cert $cert -FilePath C:DriverCertmyDrivers.pfx -Password $CertPassword
Теперь нужно добавить сертификат в доверенные корневые сертификаты и в сертификаты доверенных издателей:
$certFile = Export-Certificate -Cert $cert -FilePath C:DriverCertdrivecert.cer
Import-Certificate -CertStoreLocation Cert:LocalMachineAuthRoot -FilePath $certFile.FullName
Import-Certificate -CertStoreLocation Cert:LocalMachineTrustedPublisher -FilePath $certFile.FullName
В предыдущих версиях Windows для создания сапомодписанных сертификатов нужно использовать утилиту makecert.exe из Windows Software Development Kit (SDK). В этом случае команды для создания сертификата будут выглядеть так:
cd “C:Program Files (x86)Microsoft SDKsWindowsv7.1bin”
makecert -r -sv C:DriverCertmyDrivers.pvk -n CN="Winitpro" C:DriverCertMyDrivers.cer
Укажите пароль для ключа (например,
[email protected]
).
На основе созданного сертификата создайте публичный ключ для сертификата издателя ПО (PKCS).
cert2spc C:DriverCertmyDrivers.cer C:DriverCertmyDrivers.spc
Объедините публичный ключ (.spc) и персональный ключ (.pvk) в одном файле сертификата формата Personal Information Exchange (.pfx).
pvk2pfx -pvk C:DriverCertmyDrivers.pvk -pi [email protected] -spc C:DriverCertmyDrivers.spc -pfx C:DriverCertmyDrivers.pfx -po [email protected]
Добавьте сертификат в доверенные:
certmgr.exe -add C:DriverCertmyDrivers.cer -s -r localMachine ROOT
certmgr.exe -add C:DriverCertmyDrivers.cer -s -r localMachine TRUSTEDPUBLISHER
В домене вы можете централизованно распространить этот сертификат на рабочие станции с помощью групповой политики. Запустите консоль управления локальными сертификатами компьютера и убедитесь, что ваш сертификат есть в хранилищах Trusted Publishers и Trusted Root Certification Authorities локальной машины).
Примечание. При проверке хранилища сертификатов с помощью утилиты Sigcheck этот сертификат будет отображаться как недоверенный, т.к. он отсутствует в списке со списком корневых сертификатов Microsoft (этот список нужно периодически обновлять).
Совет. Несмотря на то, что сертификат имеет ограниченный срок действия, истечение срока действия сертификата CodeSigning означает, что вы не сможете создавать новые сигнатуры. Срок действия драйвера, уже подписанного этим сертификатом, бессрочен (либо старые сигнатуры действуют в течении указанного timestamp).
Генерируем CAT файл драйвера
Создайте каталог C:DriverCertxg и скопируйте в него все файлы из каталога, в который первоначально был распакован архив с драйвером (c:toolsdrv1). Убедить что среди файлов имеются файлы с расширением .sys и .inf (в нашем случае xg20grp.sys и xg20gr.inf).
md C:DriverCertxg
xcopy c:toolsdrv1 C:DriverCertxg /i /c /k /e /r /y
Перейдем в каталог:
cd “C:Program Files (x86)Windows Kits10bin10.0.22000.0x86”
На основе inf файла с помощью утилиты inf2cat.exe (входит в состав Windows Driver Kit -WDK) сгенерируйте cat файл (содержит информацию о всех файлах пакета драйвера).
inf2cat.exe /driver:"C:DriverCertxg" /os:7_X64 /verbose
Чтобы убедитесь, что процедура прошла корректно, проверьте, что в каталоге появился файл C:DriverCertxgxg20gr.cat, и в логе есть сообщения:
Signability test complete.
и
Catalog generation complete.
Совет. В моем случае команда Inf2Cat.exe вернула ошибку:
Signability test failed. Errors: 22.9.7: DriverVer set to incorrect date (must be postdated to 4/21/2009 for newest OS) in hdx861a.inf
Для исправления ошибки нужно в секции [Version] найти строку с DriverVer= и заменить ее на:
DriverVer=05/01/2009,9.9.9.9
Если у вас появится ошибка
Missing AMD64 CatalogFile entry
(для 64-бит) или
Missing 32-bit CatalogFile entry
. Нужно в секцию [Version] .inf файла добавить строку
CatalogFile=xg20gr.cat
.
Подписываем драйвер самоподписанным сертификатом
Перейдите в каталог:
cd "C:Program Files (x86)Windows Kits10bin10.0.22000.0x64"
Подпишите комплект файлов драйвера созданным сертификатом. В качестве сервиса таймстампа (штамп времени) воспользуемся ресурсом Globalsign. Следующая команда подпишет CAT файл цифровой подписью с помощью сертификата, хранящегося в PFX-файл, защищенном паролем.
signtool sign /f C:DriverCertmyDrivers.pfx /p [email protected] /t http://timestamp.globalsign.com/scripts/timstamp.dll /v "C:DriverCertxgxg20gr.cat"
В современных версиях Windows 10 и Windows 11 при выполнении этой команды появится ошибка:
SignTool Error: No file digest algorithm specified. Please specify the digest algorithm with the /fd flag. Using /fd SHA256 is recommended and more secure than SHA1. Calling signtool with /fd sha1 is equivalent to the previous behavior. In order to select the hash algorithm used in the signing certificate's signature, use the /fd certHash option.
Нужно использовать другую команду:
signtool sign /tr http://timestamp.digicert.com /td SHA256 /v /f C:DriverCertmyDrivers.pfx /p [email protected] "C:DriverCertxgxg20gr.cat"
Если при выполнении команды появляется ошибка
SignTool Error: An unexpected internal error has occurred, или Error information: SignerTimeStamp() failed. (-2147012865/0x80072eff)
, попробуйте другой URL адрес сервера. Попробуйте любой из списка:
http://timestamp.verisign.com/scripts/timstamp.dll http://timestamp.globalsign.com/scripts/timstamp.dll http://timestamp.comodoca.com/authenticode http://www.startssl.com/timestamp http://tsa.starfieldtech.com
Если файл подписан успешно, должна появится надпись:
Successfully signed: C:DriverCertxgxg20gr.cat Number of files successfully Signed: 1
Цифровая подпись драйвера содержится в .cat файле, на который ссылается .inf файл драйвера. С помощью следующей команды можно проверить цифровую подпись драйвера в cat файле:
SignTool verify /v /pa c:DriverCertxgxg20gr.cat
Также можно увидеть информацию о сертификате в свойствах CAT файла на вкладке Digital Signatures.
Если сертификат не доверенный (или не был добавлен в хранилище корневых доверенных сертификатов), то при выполнении команды SignTool verify появится ошибка:
SignTool Error: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
CAT файл содержит цифровые подписи (отпечатки / thumbprints) всех файлов, которые находятся в каталоге драйвера (файлов, которые указаны в INF файле в секции CopyFiles). Если любой из этих файлов был изменен, то контрольная сумма файлов не будет совпадать с данными в CAT файле, в результате установка такого драйвера закончится ошибкой.
Установка драйвера, заверенного самоподписанным сертификатом
Попробуйте еще раз установить подписанный вами драйвер, выполнив команду:
Pnputil –i –a C:DriverCertxg20xg20gr.inf
Successfully installed the driver on a device on the system. Driver package added successfully.
В Windows 10 и 11 появляется предупреждение о том, уверены ли вы, что хотите установить этот драйвер. Нажав Install, вы установите драйвер в системе.
Если по каким-то причинам драйвер не устанавливается, подробный лог установки драйвера содержится в файле C:Windowsinfsetupapi.dev.log. Этот лог позволит вам получить более подробную информацию об ошибке установки. В большинстве случаев возникает ошибка
Driver package failed signature validation
. Скорее всего это означает, что сертификат драйвера не добавлен в доверенные сертификаты.
Если установка драйвера прошла успешно, в файле setupapi.dev.log будут примерно такие строки:
>>> [Device Install (DiInstallDriver) - C:WINDOWSSystem32DriverStoreFileRepositoryxg20gr.inf_amd64_c5955181485ee80axg20gr.inf] >>> Section start 2018/07/22 23:32:57.015 cmd: Pnputil -i -a c:DriverCertxgxg20gr.inf ndv: Flags: 0x00000000 ndv: INF path: C:WINDOWSSystem32DriverStoreFileRepositoryxg20gr.inf_amd64_c5955181485ee80axg20gr.inf inf: {SetupCopyOEMInf: C:WINDOWSSystem32DriverStoreFileRepositoryxg20gr.inf_amd64_c5955181485ee80axg20gr.inf} 23:32:57.046 inf: Copy style: 0x00000000 inf: Driver Store Path: C:WINDOWSSystem32DriverStoreFileRepositoryxg20gr.inf_amd64_c5955181485ee80axg20gr.inf inf: Published Inf Path: C:WINDOWSINFoem23.inf inf: {SetupCopyOEMInf exit (0x00000000)} 23:32:57.077 <<< Section end 2018/07/22 23:32:57.155 <<< [Exit status: SUCCESS]
Драйверы Kernel-Mode и User-Mode
Напомню, что в Windows драйвер могут выполнятся либо в режиме ядра (kernel-mode), либо в режиме пользователя (user-mode). Драйверы режима ядра, подписанные таким образом не будут загружаться при загрузке Windows в режиме UEFI Secure Boot с ошибкой:
Event ID: 7000 ERROR_DRIVER_BLOCKED 1275 (0x4FB) This driver has been blocked from loading.
Проверить, включен ли режим Secure Boot можно с помощью команды:
Confirm-SecureBootUEFI
Все драйвера, режима ядра, загружаемые при включенном SecureBoot, должны быть подписаны в ходе процесса сертификации Microsoft (WHQL — Windows Hardware Quality Lab). Причина в том, что при загрузке ядра, UEFI не может проверить сертификаты в локальном хранилище Windows.
SignTool Error: Signing Cert does not chain to a Microsoft Code Verification Root.
Microsoft ввела обязательную сертификацию сторонних драйверов по программе Windows Hardware Compatibility Program начиная с Windows 10 1607.
Само подписанные драйвера режима пользователя (это обычно принтеры, сканеры, плоттеры и т.д.) будут работать даже при включенном SecureBoot.
Для kernel-mode драйверов придется отключить проверку цифровой подписи при загрузке и загружаться в тестовом режиме с помощью bcdedit.exe, как описано здесь:
bcdedit.exe /set /nointegritychecks on
bcdedit.exe /set testsigning ON
Цифровая подпись драйвера используется Microsoft для идентификации производителя и подтверждения соответствия продукта требованиям операционной системы. Наличие такого электронного сертификата гарантирует отсутствие в нем изменений, внесенных после выпуска. Таким образом, пользователь получает двойную гарантию безопасности и может быть уверен в работоспособности полученного драйвера.
Содержание
- 1 Проверка подписей
- 1.1 Direct X
- 1.2 Signature Verification
- 2 Отключение подписи
- 2.1 Групповая политика
- 2.2 Особые параметры загрузки
- 2.3 Режим командной строки
- 3 Создание цифровой подписи
- 4 В заключение
Проверка подписей
Windows выполняет проверку цифрового сертификата автоматически. Обнаружив его отсутствие, система выдает пользователю предупреждение об опасности установки неподписанного драйвера. Для проверки уже инсталлированных в ОС компонентов можно использовать встроенные инструменты.
Direct X
Драйверы мультимедиа ‒ наиболее часто обновляемые компоненты ОС. Проверить их на наличие сертификата можно с помощью встроенного средства диагностики. Запускаем его командой, показанной на скриншоте.
На основной вкладке ставим галочку в отмеченном поле. Таким образом мы включим автоматическую проверку утилитой сертификатов соответствия.
Переключившись на следующую вкладку, в поле «Драйверы» мы видим положительный ответ системы.
Аналогичным образом проверяем остальные страницы, убеждаясь в наличии сертификата WHQL.
Signature Verification
Выявить наличие в системе всех компонентов без цифровой подписи можно, используя специальную утилиту проверки. Запустим ее, набрав в текстовом поле «sigverif».
Нажимаем отмеченную кнопку для активации процедуры тестирования компонентов.
Завершение верификации несколько изменит вид основного окна утилиты. Нажимаем на выделенную кнопку, чтобы открыть дополнительные параметры.
Выбираем опцию «Просмотр журнала».
В текстовом редакторе запускается отчет о состоянии установленных в системе драйверов. Обозначенная колонка «Состояние» дает информацию о наличии цифрового сертификата WHQL.
Разобравшись с текущим состоянием системы, рассмотрим, как выполнить отключение проверки цифровой подписи драйверов в Windows 10.
Отключение подписи
Поддерживая стабильность ОС, Microsoft не рекомендует устанавливать компоненты, не имеющие сертификатов WHQL, но такая возможность в системе осталась. Необходимость установить неподписанный драйвер может возникнуть по разным причинам. К примеру, это может быть оборудование, снятое с производства, но необходимое для работы.
Групповая политика
Самый простой способ отключить электронную подпись заключается в изменении политики безопасности. Запускаем редактор, используя меню «Выполнить».
В главном окне последовательно разворачиваем подчеркнутые пункты в области навигации. Последний раздел содержит три параметра. Нужный нам выделен рамкой. Открываем его для редактирования.
В управляющем блоке ставим переключатель в положение «Включено». В области параметров используем выпадающее меню. Выбираем пункт, отмеченный цифрой «2». Применяем и сохраняем внесенные изменения.
Заданное правило должно начать действовать без перезагрузки.
Особые параметры загрузки
Следующий способ предполагает использование особых вариантов загрузки операционной системы. Открываем меню параметров Windows и переходим в указанный на скриншоте раздел.
В области навигации перемещаемся к пункту «Восстановление». Используем отмеченную кнопку для перезагрузки системы.
Управление мышью тут доступно, поэтому последовательно начинаем перемещаться по меню. Открываем раздел устранения неисправностей.
Выбираем дополнительные параметры.
Переходим к настройкам загрузки.
Эта область информационная и работает в ней только отмеченная кнопка.
Система переходит в режим низкого разрешения экрана и отключает управление мышью. Нужный нам пункт седьмой в списке. Выбираем его, нажимая управляющую клавишу «F7» в верхнем ряду клавиатуры.
Компьютер перезагрузится, после чего установка неподписанных драйверов в ОС станет доступна.
Режим командной строки
С помощью этого метода можно также отключить проверку цифровой подписи драйвера в Windows 7. Запускаем PowerShell в режиме повышенных прав. Вводим последовательно приведенные на скриншоте команды.
После перезагрузки система не будет сообщать, что ей требуется драйвер с цифровой подписью. Для отключения режима в тексте последней команды указываем «OFF» вместо «ON».
Еще один вариант использования командной строки требует перезагрузки в безопасный режим. Последовательность действий мы уже рассматривали. Добравшись до дополнительных параметров, выбираем обозначенный пункт.
Операционная система еще раз перезагрузится, отобразив командную строку в режиме администратора. Вводим приведенную на скриншоте команду. Для выхода в графическое меню набираем «exit».
Отключение данного режима также выполняется заменой «ON» на «OFF» в конце управляющей команды.
Создание цифровой подписи
В некоторых случаях описанные методы могут не помочь. Когда не отключается проверка подписи драйверов Windows 7 или 10, придется подписать его самостоятельно. Для этой цели нам понадобится распаковать установочный пакет и найти файл с расширением INF. В нем содержится необходимая для инсталляции в системе информация. Найдя нужный файл, вызываем его свойства и переходим на вкладку «Безопасность». Копируем путь, указанный в поле «Имя объекта».
Запускаем PowerShell с повышенными правами. Вводим следующую команду: «pnputil -a C:pathname.inf». Заменяем в ней строку «C:pathname.inf» на скопированный путь к файлу.
В результате ее выполнения выбранный драйвер будет зарегистрирован в системе. Этот же способ подойдет и в том случае, когда постоянно слетает цифровая подпись драйвера.
В заключение
Как мы убедились, существует несколько вариантов установки необходимых компонентов без электронного сертификата WHQL. Действия несложные и могут быть выполнены любым пользователем. Тем не менее, установка неподписанного драйвера не должна быть нормой. Поскольку он не тестировался Microsoft, компания не будет нести ответственность за последствия его установки, а пользователь имеет высокие шансы столкнуться с ошибками BSOD.
Содержание
- 1 Энциклопедия Windows
- 1.1 Устанавливать драйвера без цифровой подписи или нет
- 1.2 Настройки групповых политик
Многие пользователи уже встречались с неподписанными драйверами. Хочешь установить необходимый драйвер для какой-то программы, а Windows 7 показывает здоровенную фигу – мол, иди гуляй, парнишка, у драйвера нет цифровой подписи. Как решить такую проблему?
Собственно, решений здесь ровным счетом два – либо избавиться вообще от проверки цифровых подписей, либо…добавить эту подпись самостоятельно! Ага, вы небось и не знали, что драйвера можно подписывать собственноручно? Век живи – век учись.
Но сначала узнаем, как можно отключить проверку цифровой подписи у драйверов.
Устанавливать драйвера без цифровой подписи или нет
Невозможно с уверенностью определить, что файл без действительной цифровой подписи получен из указанного источника и не был подделан (возможно, с помощью вируса) после его публикации. Желательно избегать открытия файла, если нет уверенности в достоверности источника и безопасности содержимого файла. Даже действительная цифровая подпись не гарантирует, что содержимое файла является безопасным. На основе удостоверения издателя файла и данных об источнике его загрузки следует решить, можно ли доверять содержимому файла
Настройки групповых политик
Сразу отметим, что для домашней редакции Windows 7 предложенный вариант неактуален, так как «Редактор групповых политик» в ней отсутствует.
- В командном интерпретаторе выполняем «gpedit.msc».
- Переходим в раздел конфигурации текущего пользователя и разворачиваем «Административные шаблоны».
- Переходим вниз по иерархии, как показано на скриншоте.
- Открываем диалог редактирования записи «Цифровая подпись…».
- Переносим переключатель в положение «Отключить» и щёлкаем «ОК».
А возможно ли заменить манипуляции с F8 или программой dseo13b банальным отключением проверки цифровой подписи драйверов И?
Выполнить gpedit.msc — Конфигурация пользователя — Административные шаблоны — Система -Установка драйвера — Цифровая подпись драйверов устройств — Поставить в Отключено.
И?
не понятно — где это найти (gpedit.msc — Конфигурация пользователя — Административные шаблоны — Система -Установка драйвера — Цифровая подпись драйверов устройств — Поставить в Отключено)
Добавлено через 1 час 2 минуты 55 секунд
воспользовался архивом [Только зарегистрированные пользователи могут видеть ссылки. ]
но сделал чуть по другому.
по описанию того архива у меня послеперезапуска падал драйвер эмулятора. хоть я его подписывал и подписывал но не получилось.
и решил чуть изменить инструкцию.
1. Для начала установите 1с8.1 без установки hasp-ключа
(если же установили хасп ранее, деинсталировать в меню-все программы- 1с interprise 8.1)
2. загружаемся через F8, режим «Загрузка без цифровой подписи драйверов»
3. Далее, заходим в папку 2. «certificate + dump key», далее в папку «dump x64″(в данном случае для win7 x64)
дважды кликаем на файле «v8 50 user», появится окно «Редактор реестра»
Нажимаем «Да» и добавляем в реестр, делаем это со всеми тремя файлами поочереди.
4. Устанавливаем сертификат «1CFan Community» из папки «2. certificate + dump key», дважды кликаем на файле
в появимшемся окне нажимаем «установить сертификат», ..далее, «Поставить все сертификаты в следующее хранилище»,
..обзор, выбрать папку «Доверительные корневые центры сертификации»
5.запустить cmd.exe в папке 3 от администратора
Для этого кликнуть правой кнопкой мыши на файле «cmd» и выбрать «Запуск от имени администратора»
Далее, «Пуск»- в строке «наити програмы и файлы» набрать..
haspdinst_x64.exe -i (для x64)
или
haspdinst.exe -i(для x86)
6. Далее, «Пуск»-«Панель управления»-«Система и безопасность»-«Система»-«Диспетчер устройств»
Правой кнопкой мыши кликнуть на «My computer»(или как там он у вас называется) и нажать «установить старое устройство»
Запустится мастер установки оборудования-«далее», -«установка оборудования вручную», -«показать все устройства»-далее,
«установить с диска», — «обзор» (укажите место расположения распакованной папки 4 «virtual usb bus» и файла «vusbbus» в подпапке x64(для win7 x64)
выбрать модель «Virtual USB Bus Enumerator» нажать -«далее» не смотря на запись «Драйвер без цифровой подписи», -«далее», «Готово».
Система установит контроллер USB «Alladin Hasp Key».
7. Подписываем этот драйвер «Virtual USB Bus Enumerator»
1) Запускаете программу и нажимаете Next, а затем Next
2) Выбираете пункт “Enable Test Mode” и нажимаете Next
3) Выбираете пункт “Sign a System File” и нажимаете Next
4) Указываете имя Вашего файла, включая путь к нему и нажимаете Next
Например, если файл драйвера расположен в каталоге C:WindowsSystem32Drivers, то вам необходимо указать C:WindowsSystem3***. sys. В случае если необходимо подписать несколько файлов, то просто повторите эту процедуру несколько раз.
5) Перезапускаете компьютер
далее я для пущей надежности заставил систему постоянно грузиться в режиме «драйвера без подписи» с помощью програмки «ReadyDriverPlus».
и все.. работает.
извините если повторяю когото.
Непонятен пункт 7 (какую программу вы запускаете — и как подписать драйвер)
Последний раз редактировалось ДЛюба; 09.12.2010 в 17:02 . Причина: Добавлено сообщение
Содержание
- Видео инструкция
- Способы деактивации проверки
- Способ 1: Переход в режим загрузки с деактивацией обязательной верификации подписей
- Способ 2: «Командная строка»
- Способ 3: «Редактор групповой политики»
- Способ 4: «Редактор реестра»
- Вопросы и ответы
Иногда операционная система блокирует инсталляцию драйверов, если у них отсутствует цифровая подпись. В Windows 7 эта ситуация особенно часто происходит на 64-разрядных ОС. Давайте разберемся, как в случае необходимости отключить проверку цифровой подписи.
Читайте также: Деактивация проверки подписи драйверов в Виндовс 10
Видео инструкция
Способы деактивации проверки
Сразу следует оговориться, что деактивируя проверку цифровой подписи, вы действуете на свой страх и риск. Дело в том, что неизвестные драйвера могут быть источником уязвимости или прямой опасности, если являются продуктом разработки злоумышленников. Поэтому не рекомендуем снимать защиту при установке объектов, скачанных из интернета, так как это очень рискованно.
В то же время бывают ситуации, когда вы уверены в подлинности драйверов (например, когда они поставляются в комплекте с оборудованием на дисковом носителе), но у них по какой-то причине отсутствует цифровая подпись. Вот для таких случаев и стоит применять описанные ниже способы.
Способ 1: Переход в режим загрузки с деактивацией обязательной верификации подписей
Чтобы деактивировать верификацию подписи драйверов при их инсталляции на Виндовс 7, можно произвести загрузку ОС в особом режиме.
- Перезагрузите или включите компьютер в зависимости от того, в каком состоянии он в данный момент находится. Как только прозвучит звуковой сигнал при запуске, зажмите клавишу F8. В некоторых случаях это может быть иная кнопка или сочетание, в зависимости от версии BIOS, установленного на вашем ПК. Но в подавляющем большинстве случаев нужно применять именно вышеуказанный вариант.
- Откроется перечень вариантов запуска. При помощи стрелок навигации на клавиатуре выберите пункт «Отключение обязательной проверки…» и щелкните Enter.
- После этого ПК запустится в режиме деактивированной проверки подписи и вы сможете спокойно инсталлировать любые драйвера.
Недостаток данного метода заключается в том, что как только вы запустите в следующий раз компьютер в обычном режиме, все установленные драйвера без цифровых подписей тут же слетят. Этот вариант подходит лишь для одноразового подключения, ели вы не планируете использовать устройство регулярно.
Способ 2: «Командная строка»
Отключить верификацию цифровой подписи можно при помощи введения команд в «Командную строку» операционной системы.
- Жмите «Пуск». Переходите во «Все программы».
- Щелкайте «Стандартные».
- В раскрывшейся директории ищите «Командная строка». Произведя нажатие по указанному элементу правой кнопкой мышки (ПКМ), выбирайте позицию «Запуск от имени администратора» в отобразившемся перечне.
- Активируется «Командная строка», в которую нужно ввести следующее:
bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS
Щелкайте Enter.
- После появления информации, говорящей об удачном завершении задачи, вбивайте такое выражение:
bcdedit.exe -set TESTSIGNING ON
Снова применяйте Enter.
- Верификация подписи теперь деактивирована.
- Для её повторной активации вбейте:
bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS
Применяйте нажатием Enter.
- Затем вбейте:
bcdedit -set TESTSIGNING ON
Снова нажимайте Enter.
- Верификация подписи снова активирована.
Существует ещё один вариант действий через «Командную строку». В отличие от предыдущего, он требует всего лишь введения одной команды.
- Вводите:
bcdedit.exe /set nointegritychecks ON
Жмите Enter.
- Проверка деактивирована. Но после инсталляции необходимого драйвера все-таки рекомендуем снова активировать верификацию. В «Командной строке» вбейте:
bcdedit.exe /set nointegritychecks ON OFF
- Верификация подписи опять активирована.
Урок: Активация «Командной строки» в Виндовс 7
Способ 3: «Редактор групповой политики»
Другой вариант деактивации верификации подписи осуществляется методом манипуляций в «Редакторе групповой политики». Правда, он доступен только в редакциях «Корпоративная», «Профессиональная» и «Максимальная», а вот для редакций «Домашняя базовая», «Начальная» и «Домашняя расширенная» этот алгоритм выполнения поставленной задачи не подойдет, так как в них отсутствует необходимая функциональность.
- Для активации нужного нам инструмента воспользуемся оболочкой «Выполнить». Нажмите Win+R. В поле отобразившейся формы введите:
gpedit.msc
Жмите «OK».
- Запускается необходимый для наших целей инструмент. В центральной части открывшегося окна щелкайте по позиции «Конфигурация пользователя».
- Далее жмите «Административные шаблоны».
- Теперь войдите в директорию «Система».
- Затем откройте объект «Установка драйвера».
- Теперь щелкайте по названию «Цифровая подпись драйверов…».
- Открывается окно настройки вышеуказанного компонента. Выставьте радиокнопку в положение «Отключить», а затем жмите «Применить» и «OK».
- Теперь закрывайте все открытые окна и программы, далее щелкайте «Пуск». Кликните по треугольной фигуре справа от кнопки «Завершение работы». Выбирайте «Перезагрузка».
- Компьютер будет перезапущен, после чего верификация подписи деактивируется.
Способ 4: «Редактор реестра»
Следующий способ решения поставленного задания выполняется через «Редактор реестра».
- Наберите Win+R. Введите:
regedit
Кликните «OK».
- Активируется оболочка «Редактора реестра». В левой области оболочки кликайте по объекту «HKEY_CURRENT_USER».
- Далее заходите в каталог «Software».
- Откроется очень длинный перечень разделов, расположенных по алфавиту. Отыщите среди элементов наименование «Policies» и кликните по нему.
- Далее жмите по названию каталога «Microsoft» ПКМ. В контекстном меню выберите пункт «Создать» и в дополнительном перечне выбирайте вариант «Раздел».
- Отобразится новая папка с активным полем для наименования. Вбейте туда такое имя – «Driver Signing» (без кавычек). Щелкайте Enter.
- После этого щелкайте ПКМ по наименованию только что созданного раздела. В списке щелкайте по пункту «Создать». В дополнительном перечне выбирайте вариант «Параметр DWORD 32 bit». Причем эту позицию следует выбрать независимо от того 32-битная у вас система или же 64-битная.
- Теперь в правой части окна отобразится новый параметр. Произведите по нему щелчок ПКМ. Выбирайте «Переименовать».
- После этого название параметра станет активным. Впишите вместо текущего наименования следующее:
BehaviorOnFailedVerify
Щелкните Enter.
- После этого произведите двойной щелчок левой кнопкой мыши по этому элементу.
- Открывается окно свойств. Необходимо проверить, чтобы радиокнопка в блоке «Система исчисления» стояла в позиции «Шестнадцатеричная», а в поле «Значение» была установлена цифра «0». Если все это так, то просто щелкайте «OK». Если же в окне свойств любой из элементов не отвечает вышеприведенному описанию, то необходимо произвести те установки, о которых было сказано, и только после этого нажать «OK».
- Теперь закрывайте «Редактор реестра», нажав стандартный значок закрытия окна, и перезагружайте ПК. После процедуры перезапуска верификация подписи будет деактивирована.
В Виндовс 7 существует несколько методов деактивации проверки подписи драйверов. К сожалению, только вариант с включением компьютера в особом режиме запуска гарантировано обеспечит нужный результат. Хотя и он имеет некоторые ограничения, выражающиеся в том, что после запуска ПК в обычном режиме все инсталлированные драйвера без подписи слетят. Остальные методы могут работать не на всех компьютерах. Их работоспособность зависит от редакции ОС и установленных обновлений. Поэтому, возможно, придется перепробовать несколько вариантов, прежде чем вы получите ожидаемый результат.
Еще статьи по данной теме:
Помогла ли Вам статья?
Цифровая подпись – это средство проверки безопасности и корректности драйвера. Отсутствие подписи говорит о том, что пакет драйвера был изменён или просто не готов к выпуску и имеет проблемы, если это относится к официальному драйверу. Сейчас мы расскажем, для чего нужна цифровая подпись драйвера в Windows 7 и как её отключить.
Что такое цифровая подпись драйвера
Подпись драйвера – соответствие цифровой подписи (сигнатуры) с соответствующим пакетом драйвера. Система проверяет подпись, чтобы убедиться, что данные соответствуют заявленной сигнатуре и не представляют опасности для компьютера. Но часто встречаются ситуации, когда проверка подписи сильно мешает. Например, для прошивки некоторых Android телефонов требуется установка программного обеспечения и специального драйвера, который не имеет цифровой подписи.
Сама подпись необходима для защиты и безопасности вашего компьютера, а также вашей информации. Напоминаем, что установка неизвестных драйверов, без соответствующей цифровой подписи – опасна!
В Windows 7 существует несколько способов отключения проверки цифровой подписи драйверов. Начиная от параметров загрузки системы, заканчивая специальными приложениями. Дальше мы рассмотрим каждый из этих вариантов подробнее, в рамках подробных инструкций с примерами и изображениями.
Отключение проверки драйверов через параметры загрузки
Используя этот вариант, можно отключить проверку подписи, только до перезагрузки устройства. После выключения и перезагрузки, неподписанный драйвер не будет работать. Итак, для того чтобы отключить проверку цифровой подписи через дополнительные параметры загрузки Windows 7 вам необходимо выполнить следующие действия:
- Выключите ПК (или перезагрузите его) и при включении нажимайте клавишу F8 с интервалом в 1 секунду;
- Система загрузится на странице «Дополнительные параметры загрузки»;
- Выберите вариант загрузки «Отключение обязательной проверки подписи драйверов» и нажмите Enter;
- Система загрузится с нужными параметрами;
Этот вариант довольно прост, но как было сказано выше, это позволит отключить проверку только до следующей перезагрузки ПК. Используя следующие варианты, проверка подписи будет отключена до тех пор, пока вы её самостоятельно не включите.
Отключение проверки драйверов через командную строку
Командная строка открывает большие возможности для изменения настроек Windows 7, главное знать, какие команды использовать. Этот способ довольно прост, но необходимо точно следовать следующей инструкции:
- Нажмите на кнопку «Пуск», в поиске введите «Командная строка» или «cmd» и запустите приложение от имени Администратора;
- Введите следующие команды поочередно:
- bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS
- bcdedit.exe -set TESTSIGNING ON
- Перезагрузите компьютер;
В какой-то момент, вам потребуется обратно включить проверку драйвера, для это выполните команды:
- bcdedit.exe -set loadoptions ENABLE_INTEGRITY_CHECKS
- bcdedit.exe -set TESTSIGNING OFF
Альтернативный способ. Можно также использовать реестр Windows, чтобы прописать нужные параметры, введите следующую команду в командной строке от имени Администратора:
- reg add «HKCUSoftwarePoliciesMicrosoftWindows NTDriver Signing» /v BehaviorOnFailedVerify /t reg_dword /d 00000000 /f
Отключение проверки через редактор групповой политики
Вы можете использовать еще один альтернативный вариант, через редактор групповых политик. Стоит обратить внимание, что редактор доступен только для версий Windows 7 Pro и Ultimate (Максимальная). Если ваша версия системы Домашняя или Начальная, вам могут помочь предыдущие варианты.
Для того чтобы отключить проверку подписи драйвера с помощью данного способа вам нужно выполнить следующее:
- Нажмите сочетание Win+R и введите gpedit.msc;
- Пройдите по следующему пути «Конфигурация пользователя» — «Административные шаблоны» — «Система» — «Установка драйвера»;
- Откройте «Цифровая подпись драйверов устройств» и выставьте значение «Включить» и выставьте значение «Пропустить»;
- Перезагрузите компьютер;
Обход проверки с помощью Driver Signature Enforcement Overrider
Приложение Driver Signature Enforcement Overrider (DSEO) используется для обхода системы защиты Microsoft, которая не позволяет устанавливать неподписанные драйвера. К сожалению, приложение не может принудительно подписать драйвер, но в состоянии подменить подпись, чтобы система могла его считать подписанным и корректным. Загрузить приложение вы можете на странице – Softpedia.
Обход проверки драйвера с помощью Driver Signature Enforcement Overrider
Для корректной работы приложения, необходимо отключить UAC. Для этого откройте окно Выполнить (нажмите сочетание клавиш Win+R), введите команду «UserAccountControlSettings.exe» и выставьте ползунок в минимальное положение и нажмите ОК.
Как использовать Driver Signature Enforcement Overrider:
- После загрузки, запустите приложение dse013b.exe;
- Примите условия лицензионного соглашения;
- Включите режим тестирования, выбрав пункт «Enable Test Mode» и нажав Next;
- После чего «подпишите» драйвер, выбрав его используя параметр «Sign a system File»;
- Перезагрузите компьютер, чтобы изменения вступили в силу;
Откатить все изменения можно отключив режим тестирования функцией «Disable Test Mode».
Все указанные способы должны помочь вам решить проблему с проверкой цифровой подписи драйверов на Windows 7. Но хотим повторить, что не следует устанавливать драйверы, если вы полностью не уверены в его безопасности для вашего устройства.
Посмотрите также:
- Как обновить драйвер видеокарты
- Как удалить драйвера видеокарты
- Как удалить старый драйвер
- Как обновить драйверы видеокарты на Windows 7
- Как отключить проверку цифровой подписи драйверов в Windows 11 и Windows 10
Автор
Александр Степушин
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
Остались вопросы?
Задайте вопрос в комментариях под статьей или на странице
«Задать вопрос»
и вы обязательно получите ответ.
Цифровая подпись — это электронная метка, которая может добавляться к файлам в целях безопасности. Она позволяет идентифицировать издателя файла (подлинность файла) и определить, не подвергался ли файл изменениям (целостность файла).
Цифровые подписи обычно используются производителями оборудования для подписывания драйверов устройств. Драйвер, имеющий цифровую подпись – это драйвер, который опубликован доверенным издателем и протестирован на предмет совместимости с операционной системой, установленной на компьютере.
Если файл содержит некорректную цифровую подпись (или ее нет совсем), то это может означать, что данный файл опубликован ненадежным издателем или был изменен (например, заражен вирусом). Наличие корректной цифровой подписи не всегда гарантирует отсутствие вредоносного кода, а ее отсутствие не обязательно несет угрозу безопасности системы, но все же следует настороженно относиться к файлам с некорректной или отсутствующей подписью.
Проверка цифровой подписи
В Windows 7 для проверки цифровой подписи есть специальная утилита sigverif.exe. Для ее запуска нужно в поисковой строке меню Пуск набрать sigverif.exe и нажать Ввод
В окне программы жмем Начать и она автоматически проверяет системные файлы на наличие подписей.
Результат проверки сохраняется в текстовый файл sigverif.txt. Хранится он в папке Общие документы, также его можно посмотреть прямо из окна программы, щелкнув по кнопке Дополнительно.
Отключение проверки цифровой подписи
В Windows 7 требования к устанавливаемым драйверам существенно ужесточены, и любой устанавливаемый драйвер должен иметь цифровую подпись, проверенную и сертифицированную Microsoft. Перед загрузкой и установкой драйвера устройства Windows проверит его цифровую подпись, и если драйвер не подписан, выдаст предупреждение
Можно это предупреждение проигнорировать и установить драйвер, однако работать он не будет все равно. При установке неподписанного драйвера в диспетчере устройств данное устройство будет помечено восклицательным знаком и содержать сообщение об ошибке.
Политика проверки цифровой подписи драйверов призвана улучшить надежность и стабильность операционной системы, но иногда возникает необходимость установить неподписанный драйвер. К счастью, в Windows 7 можно отключить проверку цифровой подписи. Для этого есть несколько способов:
Отключить поверку цифровой подписи драйверов при загрузке через загрузочное меню. Для этого при загрузке ОС жмем клавишу F8. Для загрузки без проверки цифровых подписей нужно выбрать пункт «Отключение обязательной проверки подписи драйверов»
Дальше можно загружаться и устанавливать необходимые драйвера. Однако данный режим предназначен исключительно для тестирования и при следующей загрузке в обычном режиме установленный драйвер работать не будет.
Для постоянной загрузки в тестовом режиме можно воспользоваться утилитой командной строки bcdedit. Для этого открываем командную строку с правами администратора
И последовательно вводим 2 команды:
bcdedit -set loadoptions DDISABLED_INTEGRITY_CHECKS
bcdedit -set TESTSIGNING ON
После выполнения каждой команды должно появиться сообщение об успешном выполнении. Теперь можно перезагрузить компьютер и установить необходимые драйвера.
Для отключения тестового режима нужно ввести в командной строке команды:
bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS
bsdedit -set loadoptions TESTSIGNING ON
Важно: если выдается сообщение о том, что команда неизвестна, то вместо дефиса (-) ключи можно писать через слеш (/).
Ну и наконец можно просто отключить проверку цифровых подписей драйверов через групповую политику. Для запуска оснастки групповой политики вводим в меню Пуск в строке поиска команду gpedit.msc и жмем Ввод. В меню политик идем в Конфигурация пользователяАдминистративные шаблоныСистемаУстановка драйверов и выбираем политику «Цифровая подпись драйверов устройств».
В появившемся окне включаем политику и указываем параметр Пропустить в качестве действия системы при обнаружении неподписанных драйверов.
После перезагрузки политика применится и можно будет загружать и устанавливать любые, в том числе и неподписанные драйвера.
В ОС Windows 7 Microsoft существенно ужесточила требованию к устанавливаемым драйверам (рекомендуем познакомиться с занимательной статьей об установке драйверов устройств в Windows 7). Теперь любой устанавливаемый драйвер должен иметь цифровую подпись, проверенную и сертифицированную Microsoft. Перед загрузкой и установкой драйвера любого устройства Windows 7 проверяет цифровую подпись этого драйвера. И если при попытке установить драйвер для нового устройства в Windows 7 вы увидите сообщение: «Windows can’t verify the publisher of this driver software», значит, данный драйвер не имеет цифровой подписи. В указанном диалогом окне можно выбрать вариант ”Install this driver software anyway” («Все равно установить этот драйвер»), однако в любом случае этот драйвер не установится, и значит, устройство работать не будет.
При установке неподписанного драйвера, в диспетчере устройств данное устройство будет помечено восклицательным знаком и содержать следующее сообщение об ошибке:
Windows cannot verify the digital signature for the drivers required for this device. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source. (Code 52)
Также о проблемах с цифровой подписью драйверов могут свидетельствовать такие ошибки: Device driver software was not successfully installed
Политика проверки цифровой подписи у драйверов работает как в 32-х (x86), так и в 64-х (x64) версиях Windows 7 и главная причина появления такой политики установки сторонних драйверов – желание улучшить стабильность и надежность ОС Windows, добившись того, чтобы все выпускаемые драйвера проходили через сертификационный тест и тест на совместимость в Microsoft.
К счастью в Windows 7 можно отключить проверку цифровой подписи драйвера. И сделать это можно несколькими способами:
- Самому подписать драйвер (сделать это можно с помощью специального софта, или по инструкции, описанной в мануале Как подписать цифровой подписью драйвер для Windows 7 x64)
- Отключить проверку цифровой подписи драйверов с помощью групповой политики
- Изменить режим загрузки ОС на загрузку без проверки цифровой подписи (с помощью bcdedit)
- Загрузить Windows 7 без проверки цифровой подписи (через загрузочное меню по клавише F8)
Рассмотрим все перечисленные варианты отключения проверки подписей драйверов
Возможно временно отключить проверку подписей драйверов, если перегрузить систему, при загрузке нажать клавишу F8. В появившемся меню с вариантами загрузки системы выбрать пункт Disable Driver Signature Enforcement(«Отключение обязательной проверки подписи драйвера»).
После загрузки Win 7 можно будет установить неподписанный драйвер и протестировать его работу, однако если загрузиться в обычном режиме, драйвер работать не будет
Отключаем проверку подписи драйверов в Windows 7 с помощью групповой политики
В том случае, если вы полностью хотите отключить проверку подписывания драйверов в Windows 7, сделать это можно с помощью групповой политики.
Откройте редактор локальной групповой политики, набрав gpedit.msc
В меню политик перейдите в раздел User Configuration->Administrative Templates-> System->Driver Installation.
В правой панели найдите пункт ‘Code Signing for Device Drivers’ и дважды щелкните по нему.
В появившемся окне выберите ‘Enabled’, а в нижнем меню — ‘Ignore’. Нажмите Ок и перезагрузите компьютер. После перезагрузи и применения политика, в своей Windows 7 вы полностью отключите подписывание драйверов, и сможете установить любые, в том числе, неподписанные драйвера.
Отключаем проверку цифровой подписи драйверов в Windows 7 с помощью bcdedit
Откройте командную строку с правами администратора и последовательно наберите следующие две команды:
bcdedit.exe /set loadoptions DDISABLE_INTEGRITY_CHECKS
bcdedit.exe /set TESTSIGNING ON
После выполнения каждой из команд должно появиться сообщение о том, что команда выполнена успешно.
Перезагрузите компьютер и попробуйте установить неподписанный драйвер. Вуаля!
Если вам нужно отменить этот режим работы и вновь включить проверку цифровой подписи в win 7, выполните следующие команды:
bcdedit.exe /set loadoptions ENABLE_INTEGRITY_CHECKS
bcdedit.exe /set TESTSIGNING OFF
Цифровая подпись драйвера используется Microsoft для идентификации производителя и подтверждения соответствия продукта требованиям операционной системы. Наличие такого электронного сертификата гарантирует отсутствие в нем изменений, внесенных после выпуска. Таким образом, пользователь получает двойную гарантию безопасности и может быть уверен в работоспособности полученного драйвера.
Содержание
- 1 Проверка подписей
- 1.1 Direct X
- 1.2 Signature Verification
- 2 Отключение подписи
- 2.1 Групповая политика
- 2.2 Особые параметры загрузки
- 2.3 Режим командной строки
- 3 Создание цифровой подписи
- 4 В заключение
Проверка подписей
Windows выполняет проверку цифрового сертификата автоматически. Обнаружив его отсутствие, система выдает пользователю предупреждение об опасности установки неподписанного драйвера. Для проверки уже инсталлированных в ОС компонентов можно использовать встроенные инструменты.
Direct X
Драйверы мультимедиа ‒ наиболее часто обновляемые компоненты ОС. Проверить их на наличие сертификата можно с помощью встроенного средства диагностики. Запускаем его командой, показанной на скриншоте.
На основной вкладке ставим галочку в отмеченном поле. Таким образом мы включим автоматическую проверку утилитой сертификатов соответствия.
Переключившись на следующую вкладку, в поле «Драйверы» мы видим положительный ответ системы.
Аналогичным образом проверяем остальные страницы, убеждаясь в наличии сертификата WHQL.
Signature Verification
Выявить наличие в системе всех компонентов без цифровой подписи можно, используя специальную утилиту проверки. Запустим ее, набрав в текстовом поле «sigverif».
Нажимаем отмеченную кнопку для активации процедуры тестирования компонентов.
Завершение верификации несколько изменит вид основного окна утилиты. Нажимаем на выделенную кнопку, чтобы открыть дополнительные параметры.
Выбираем опцию «Просмотр журнала».
В текстовом редакторе запускается отчет о состоянии установленных в системе драйверов. Обозначенная колонка «Состояние» дает информацию о наличии цифрового сертификата WHQL.
Разобравшись с текущим состоянием системы, рассмотрим, как выполнить отключение проверки цифровой подписи драйверов в Windows 10.
Отключение подписи
Поддерживая стабильность ОС, Microsoft не рекомендует устанавливать компоненты, не имеющие сертификатов WHQL, но такая возможность в системе осталась. Необходимость установить неподписанный драйвер может возникнуть по разным причинам. К примеру, это может быть оборудование, снятое с производства, но необходимое для работы.
Групповая политика
Самый простой способ отключить электронную подпись заключается в изменении политики безопасности. Запускаем редактор, используя меню «Выполнить».
В главном окне последовательно разворачиваем подчеркнутые пункты в области навигации. Последний раздел содержит три параметра. Нужный нам выделен рамкой. Открываем его для редактирования.
В управляющем блоке ставим переключатель в положение «Включено». В области параметров используем выпадающее меню. Выбираем пункт, отмеченный цифрой «2». Применяем и сохраняем внесенные изменения.
Заданное правило должно начать действовать без перезагрузки.
Особые параметры загрузки
Следующий способ предполагает использование особых вариантов загрузки операционной системы. Открываем меню параметров Windows и переходим в указанный на скриншоте раздел.
В области навигации перемещаемся к пункту «Восстановление». Используем отмеченную кнопку для перезагрузки системы.
Управление мышью тут доступно, поэтому последовательно начинаем перемещаться по меню. Открываем раздел устранения неисправностей.
Выбираем дополнительные параметры.
Переходим к настройкам загрузки.
Эта область информационная и работает в ней только отмеченная кнопка.
Система переходит в режим низкого разрешения экрана и отключает управление мышью. Нужный нам пункт седьмой в списке. Выбираем его, нажимая управляющую клавишу «F7» в верхнем ряду клавиатуры.
Компьютер перезагрузится, после чего установка неподписанных драйверов в ОС станет доступна.
Режим командной строки
С помощью этого метода можно также отключить проверку цифровой подписи драйвера в Windows 7. Запускаем PowerShell в режиме повышенных прав. Вводим последовательно приведенные на скриншоте команды.
После перезагрузки система не будет сообщать, что ей требуется драйвер с цифровой подписью. Для отключения режима в тексте последней команды указываем «OFF» вместо «ON».
Еще один вариант использования командной строки требует перезагрузки в безопасный режим. Последовательность действий мы уже рассматривали. Добравшись до дополнительных параметров, выбираем обозначенный пункт.
Операционная система еще раз перезагрузится, отобразив командную строку в режиме администратора. Вводим приведенную на скриншоте команду. Для выхода в графическое меню набираем «exit».
Отключение данного режима также выполняется заменой «ON» на «OFF» в конце управляющей команды.
Создание цифровой подписи
В некоторых случаях описанные методы могут не помочь. Когда не отключается проверка подписи драйверов Windows 7 или 10, придется подписать его самостоятельно. Для этой цели нам понадобится распаковать установочный пакет и найти файл с расширением INF. В нем содержится необходимая для инсталляции в системе информация. Найдя нужный файл, вызываем его свойства и переходим на вкладку «Безопасность». Копируем путь, указанный в поле «Имя объекта».
Запускаем PowerShell с повышенными правами. Вводим следующую команду: «pnputil -a C:pathname.inf». Заменяем в ней строку «C:pathname.inf» на скопированный путь к файлу.
В результате ее выполнения выбранный драйвер будет зарегистрирован в системе. Этот же способ подойдет и в том случае, когда постоянно слетает цифровая подпись драйвера.
В заключение
Как мы убедились, существует несколько вариантов установки необходимых компонентов без электронного сертификата WHQL. Действия несложные и могут быть выполнены любым пользователем. Тем не менее, установка неподписанного драйвера не должна быть нормой. Поскольку он не тестировался Microsoft, компания не будет нести ответственность за последствия его установки, а пользователь имеет высокие шансы столкнуться с ошибками BSOD.
Отключить проверку цифровой подписи драйвера
Цифровая подпись драйвера — это гарантия его безопасности для компьютера. Некоторые производители выпускают ПО без подписи — антивирус блокирует установку таких программ. Если вы скачали драйвер из надежного источника, для его установки можно отключить проверку цифровой подписи. Способ зависит от версии ОС Windows.
- Нажмите сочетание клавиш <Win+R>. В окне «Выполнить» введите «gpedit.msc» и подтвердите кнопкой «Enter».
- Перейдите в раздел «Конфигурация пользователя/Административные шаблоны/Система/Установка драйвера» и на вкладке «Стандартный» дважды кликните параметр «Цифровая подпись драйверов устройств».
- В открывшемся окне нажмите «Отключено». Кликните «Ок», закройте редактор локальной групповой политики и перезагрузите компьютер.
Теперь ПК не будет проверять наличие цифровой подписи драйверов. Будьте внимательны при скачивании стороннего ПО.
Отключить проверку для установки одного драйвера
- В правой части экрана откройте панель Charms, нажмите «Параметры/Изменение параметров компьютера».
- В пункте «Обновление и восстановление» выберите «Восстановление/Особые варианты загрузки» и нажмите «Перезагрузить сейчас».
- После перезагрузки выберите «Диагностика/Параметры загрузки» и нажмите «Перезагрузка». В появившемся окне с помощью клавиши 7 или F7 выберите пункт «Отключить обязательную проверку подписи драйверов». После перезагрузки операционной системы вы можете установить неподписанный драйвер.
Полностью отключить проверку цифровой подписи драйверов
- Нажмите сочетание клавиш <Win+R>. В окне «Выполнить» введите «gpedit.msc» и подтвердите кнопкой «Enter».
- Перейдите в раздел «Конфигурация пользователя/Административные шаблоны/Система/Установка драйвера» и на вкладке «Стандартный» дважды кликните строку «Цифровая подпись драйверов устройств».
- В открывшемся окне нажмите «Отключено». Кликните «Ок», закройте редактор локальной групповой политики и перезагрузите компьютер.
Теперь ПК не будет проверять наличие цифровой подписи драйверов. Будьте внимательны при скачивании стороннего ПО.
- Откройте «Пуск/Все параметры/Обновление и безопасность/Восстановление».
- В разделе «Особые варианты загрузки» нажмите «Перезагрузить сейчас».
- После перезагрузки откройте «Поиск и устранение неисправностей/Дополнительные параметры/Параметры загрузки» и нажмите «Перезагрузить». Подождите, пока появится меню выбора параметров.
- Клавишей 7 или F7 выберите «Отключить обязательную проверку подписи драйвера». После перезагрузки операционной системы установите неподписанный драйвер.
Еще раз перезагрузите компьютер, чтобы включить защиту.
- Нажмите сочетание клавиш <Win+R>. В окне «Выполнить» введите «gpedit.msc» и подтвердите кнопкой «Enter».
- Перейдите в раздел «Конфигурация пользователя/Административные шаблоны/Система/Установка драйвера» и на вкладке «Стандартный» дважды кликните параметр «Подписывание кода для пакетов драйверов».
- В открывшемся окне нажмите «Отключено». Кликните «Ок» и закройте редактор локальной групповой политики. Перезагрузите компьютер.
Теперь ПК не будет проверять наличие цифровой подписи драйверов. Будьте внимательны при скачивании стороннего ПО.
Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.
Не все, и не всегда пользуются лицензионными драйверами. Поэтому нужно делать отключение проверки цифровой подписи драйверов windows 7, при их установке/переустановке. Не стоит так же исключать сбои работы системы, тогда подписи не принимает у любых драйверов, блокируя их установку или работу. Чаще возникают такие проблемы у ОС «семерка» имеющих разрядность «64».
Методы отключения
При установке неподписанных драйверов в Windows 7, случается блокировка установки. Своеобразный способ защиты от вредоносных программ. Лицензионные драйвера снабжены подписями, удостоверяющими, что они не является вирусом. Побочный эффект всего лицензионного ПО с подписями – оно, как правило, платное.
Снизить риск при скачивании не лицензионных программ можно хорошим антивирусом вроде NOD32. Если вы уже устанавливали эти драйверы, уверены в них, тогда смело выключайте эту функцию. Рекомендую создание точки восстановления, на всякий случай.
Через выбор режима загрузки
Отключить проверку цифровой подписи драйверов windows 7 возможно выбрав специфические параметры запуска ОС. Необходимо выполнить такие действия:
- Запустить перезагрузку, либо выключить/включить ваше компьютерное устройство;
- Сразу нажимать «F8», чтобы вышли варианты;
ПРИМЕЧАНИЕ: Версии БИОС разные, поэтому сработать может нажатием иной клавиши или сочетания их. Узнавайте для своего конкретного случая в Интернете, если «F8» у вас не сработал.
- Должно выйти подменю с вариациями запуска ОС;
- Отыщите подпункт «ОтключениеОбязательнойПроверкиПодписей…»;
- Используйте «Энтер»;
- Теперь установке «дров» ничего не препятствует, до перезапуска ОС;
Учтите что это выключение одноразовое, при необходимости его придется повторять, либо использовать следующие ниже методы.
В строке команд
Чтобы отключить проверку цифровой подписи драйверов виндовс 7 возможно использовать всем привычную строку. Шаги такие:
- Перейдите по пути «Пуск»—» «ВсеПрограммы» —»;
- «Стандартные» —»;
- «КоманднаяСтрока»;
- Кликните ее ПКМ и переходите к «ЗапускОтИмениАдминистратора»;
- В черном окошке впишите: «bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS»;
- Жмете «Ввод»;
- По завершении операции и выхода сообщения впишите: «bcdedit.exe -set TESTSIGNING ON»;
- Затем «Энтер»;
Снова ее задействовать помогут шаги:
- Запустить строчку;
- Набрать: «bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS»;
- Потом «bcdedit -set TESTSIGNING ON»;
- Нажимаете «Ввод» каждый раз, кто еще не понял;
Методика с применением одной команды простая:
- Запустив строчку вписывают: «bcdedit.exe /set nointegritychecks ON»;
- Чтобы включить, используйте: «bcdedit.exe /set nointegritychecks ON OFF»;
Настройками политики
Сделать это можно работой с настройками политики. Годится для ОС 7 версии «карпоративной», «професиональной» и «максиммум». В остальных нет необходимого функционала. По шагам:
- Применение «Win+R»;
- Вписывание «gpedit.msc»;
- Клик по «ОК»;
- В раскрывшемся окошке строчка: «КонфигурацияПользователя»;
- Потом «АдминистративныеШаблоны»;
- Оттуда «Система»;
- Открывайте подпункт «УстановкаДрайвера»;
- Далее в «ЦифроваяПодписьДрайверов…»;
- В оконце укажите «Отключить»;
- Кликните «Применить»;
- Затем «ОК»;
- Совершите перезагрузку;
Посредством реестра
Отключить назойливую проверку цифровой подписи у любых драйверов системы windows 7 получится таким образом. Пошаговая процедура такова:
- Воспользуйтесь «Win+R»;
- Вписывание «regedit»;
- Клик по «OK»;
- Слева в окошке реестра клик ЛКМ по «HKEY_CURRENT_USER»;
- Переход в папку «Software»;
- В списке выберите «Policies» и войдите в него;
- Далее найдите «Microsoft», кликните ПКМ, затем строчку «Создать» —» «Раздел»;
- Выйдет папка без названия, впишите «Driver Signing» (кавычки не нужны);
- Нажмите «Ввод»;
- Теперь ПКМ по созданной папке и «Создать» —»«ПараметрDWORD32bit»;
- Это не зависит от разрядности вашей ОС;
- Сделайте клик ПКМ по созданному параметру и выберите подпункт «Переименовать»;
- Задайте ему название: «BehaviorOnFailedVerify»;
- Нажмите «Ввод»;
- После этого двойной клик ЛКМ по этому файлу;
- В раскрывшемся оконце установить значение «0» (нуль) и «Шестнадцатеричную» систему;
- Кликните «ОК»;
- Можно закрывать редактор, проверка отключена;
Видео инструкция:
Цифровая подпись — это электронная метка, которая может добавляться к файлам в целях безопасности. Она позволяет идентифицировать издателя файла (подлинность файла) и определить, не подвергался ли файл изменениям (целостность файла).
Цифровые подписи обычно используются производителями оборудования для подписывания драйверов устройств. Драйвер, имеющий цифровую подпись – это драйвер, который опубликован доверенным издателем и протестирован на предмет совместимости с операционной системой, установленной на компьютере.
Если файл содержит некорректную цифровую подпись (или ее нет совсем), то это может означать, что данный файл опубликован ненадежным издателем или был изменен (например, заражен вирусом). Наличие корректной цифровой подписи не всегда гарантирует отсутствие вредоносного кода, а ее отсутствие не обязательно несет угрозу безопасности системы, но все же следует настороженно относиться к файлам с некорректной или отсутствующей подписью.
Проверка цифровой подписи
В Windows 7 для проверки цифровой подписи есть специальная утилита sigverif.exe. Для ее запуска нужно в поисковой строке меню Пуск набрать sigverif.exe и нажать Ввод
В окне программы жмем Начать и она автоматически проверяет системные файлы на наличие подписей.
Результат проверки сохраняется в текстовый файл sigverif.txt. Хранится он в папке Общие документы, также его можно посмотреть прямо из окна программы, щелкнув по кнопке Дополнительно.
Отключение проверки цифровой подписи
В Windows 7 требования к устанавливаемым драйверам существенно ужесточены, и любой устанавливаемый драйвер должен иметь цифровую подпись, проверенную и сертифицированную Microsoft. Перед загрузкой и установкой драйвера устройства Windows проверит его цифровую подпись, и если драйвер не подписан, выдаст предупреждение
Можно это предупреждение проигнорировать и установить драйвер, однако работать он не будет все равно. При установке неподписанного драйвера в диспетчере устройств данное устройство будет помечено восклицательным знаком и содержать сообщение об ошибке.
Политика проверки цифровой подписи драйверов призвана улучшить надежность и стабильность операционной системы, но иногда возникает необходимость установить неподписанный драйвер. К счастью, в Windows 7 можно отключить проверку цифровой подписи. Для этого есть несколько способов:
Отключить поверку цифровой подписи драйверов при загрузке через загрузочное меню. Для этого при загрузке ОС жмем клавишу F8. Для загрузки без проверки цифровых подписей нужно выбрать пункт «Отключение обязательной проверки подписи драйверов»
Дальше можно загружаться и устанавливать необходимые драйвера. Однако данный режим предназначен исключительно для тестирования и при следующей загрузке в обычном режиме установленный драйвер работать не будет.
Для постоянной загрузки в тестовом режиме можно воспользоваться утилитой командной строки bcdedit. Для этого открываем командную строку с правами администратора
И последовательно вводим 2 команды:
bcdedit -set loadoptions DDISABLED_INTEGRITY_CHECKS
bcdedit -set TESTSIGNING ON
После выполнения каждой команды должно появиться сообщение об успешном выполнении. Теперь можно перезагрузить компьютер и установить необходимые драйвера.
Для отключения тестового режима нужно ввести в командной строке команды:
bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS
bsdedit -set loadoptions TESTSIGNING ON
Важно: если выдается сообщение о том, что команда неизвестна, то вместо дефиса (-) ключи можно писать через слеш (/).
Ну и наконец можно просто отключить проверку цифровых подписей драйверов через групповую политику. Для запуска оснастки групповой политики вводим в меню Пуск в строке поиска команду gpedit.msc и жмем Ввод. В меню политик идем в Конфигурация пользователяАдминистративные шаблоныСистемаУстановка драйверов и выбираем политику «Цифровая подпись драйверов устройств».
В появившемся окне включаем политику и указываем параметр Пропустить в качестве действия системы при обнаружении неподписанных драйверов.
После перезагрузки политика применится и можно будет загружать и устанавливать любые, в том числе и неподписанные драйвера.
Как подписать драйвер
По умолчанию все последние версии Windows запрещают устанавливать драйверы устройств, которые не подписаны действительной цифровой подписью. Такие драйверы блокируются системой. Цифровая подпись гарантирует (в некоторой степени), что драйвер был выпущен определенным разработчиком или поставщиком, и его код не был изменен после того, как он был подписан.
Проще говоря, если драйвер подписан, то компьютер считает, что он не менялся после того как его сделали разработчики соответствующего оборудования, и что никакие злые хакеры не вписали в драйвер вредоносный код, который мог бы украсть Ваши пароли или ещё чего плохого натворить.
Содержание статьи
- 1 Как подписать драйвер для работы устройств на Windows 10 или Windows 7
- 2 Необходимые инструменты
- 3 Создание самоподписанного сертификата и приватного ключа
- 3.1 Создание Файла Каталога
- 3.2 Подписание драйвера
- 3.3 Установка самоподписанного сертификата
- 4 Установка драйвера
Как подписать драйвер для работы устройств на Windows 10 или Windows 7
Разных причин отсутствия подписи много, и раз Вы это читаете, то скорее всего столкнулись с одной из таких причин. В этом примере попробуем установить довольно старый драйвер для звуковой карты, для которого уже истек срок активности сертификата. Архив с драйверами был загружен с веб-сайта производителя ноутбуков, укомплектованных соответствующей видеокартой (нам удалось найти версию драйвера для Windows XP). Чтоб было удобнее работать с драйвером, он был перемещён в специально созданную под него папку: c:drv (папка с названием “drv” на диске “C”). Пробуем установить драйвер путем добавления его через консоль в хранилище драйверов, с помощью стандартного инструмента pnputil:Pnputil –a c:drvHDALC2.inf
Для этого впишите “cmd.exe” в поисковой строке рядом с кнопкой “Пуск” и нажмите “Запустить от имени администратора”. Если у Вас на этом этапе открывается окно с предупреждением, нажмите “Да”.
Можете или скопировать адрес из примера и вставить в консоль нажатием правой кнопки мышки, или ввести вручную. Только не забудьте поменять название файла драйвера из примера на название файла Вашего драйвера, а также поменять адрес, если Вы распаковали драйвер в другую папку.
Ожидаемо, получаем ошибку, указывающую на то, что в INF-файле не удаётся обнаружить информацию о цифровой подписи.
То же сообщение мы получим если попробуем нажать на файле драйвера ПКМ и выбрать “Установить”.
Настало время попробовать подписать драйвер свежесозданным сертификатом.
Необходимые инструменты
Чтобы сгенерировать подпись и подписать драйвер, вам необходимо загрузить и установить следующие инструменты разработки приложений (с настройками по умолчанию):
- .NET Framework 4 — нужен для работы нижеуказанных инструментов;
- Windows SDK (можно не скачивать, если у Вас есть Visual Studio 2005 или новее) для вашей версии Windows. В комплект входит набор инструментов для подписания, в котором и находится нужное средство — signtool.exe;
- WDK 7.1.0.
Создание самоподписанного сертификата и приватного ключа
- Создайте папку “DrvCert” на диске “C”
- Вернитесь в консоль и введите
cd C:Program Files (x86)Windows Kits10binx64
- Создайте самоподписанный сертификат командой
makecert -r -sv C:DrvCertmyDrivers.pvk -n CN="Company" C:DrvCertmyDrivers.cer
, — где вместо «Company» можно ввести любое другое название условной компании, для которой издается сертификат. В процессе Вам нужно будет задать пароль. Возьмём для примера “0rPr0RpR”. - Создайте публичный ключ командой
cert2spc C:DrvCertmyDrivers.cer C:DrvCertmyDrivers.spc
- Совместите публичный и приватный ключи в сертификате с форматом .pfx с помощью команды
pvk2pfx -pvk C:DrvCertmyDrivers.pvk -pi 0rPr0RpR -spc C:DrvCertmyDrivers.spc -pfx C:DrvCertmyDrivers.pfx -po 0rPr0RpR
— где в конце тот пароль, который Вы вводили ранее.
Создание Файла Каталога
- Теперь нужно создать папку C:DrvCerthda и скопировать в неё все файлы из папки, в которую первоначально был извлечен драйвер из архива (c:drv). Среди этих файлов обязательно должны быть файлы форматов .sys и .inf (в примере: RTKHDAUD.sys и HDALC2.inf).
- Вернитесь в консоль и введите
cd C:WinDDK7600.16385.1binselfsign
- Создайте файл CAT (в нём находится информация о расположении файлов в пакете драйвера) на основе файла INF с помощью средства inf2cat.exe (входит в комплект WDK). Для этого запустите следующую команду:
inf2cat.exe /driver:"C:DrvCerthda" /os:7_X86 /verbose
.
Подписание драйвера
- Введите
cd C:Program Files (x86)Windows Kits10binx64
- Теперь набор файлов драйверов нужно подписать сертификатом, который вы создали ранее, используя службу Globalsign.
Следующая команда подпишет файл CAT цифровой подписью, используя сертификат, хранящийся в файле PFX, защищенный введенным ранее паролем: signtool sign /f C:DrvCertmyDrivers.pfx /p 0rPr0RpR /t http://timestamp.verisign.com/scripts/timstamp.dll /v C:DrvCerthdahda32.cat
, где в конце — название .cat файла который появился в папке
Если всё прошло успешно то появится сообщение:
Successfully signed: C:DrvCertxgHDALC2.cat
Установка самоподписанного сертификата
Поскольку созданный только-что сертификат является самоподписанным, по умолчанию система ему не доверяет. Добавьте свой сертификат в хранилище сертификатов локального компьютера:certmgr.exe -add C:DrvCertmyDrivers.cer -s -r localMachine ROOT
certmgr.exe -add C:DrvCertmyDrivers.cer -s -r localMachine TRUSTEDPUBLISHER
Установка драйвера
Вводим команду: Pnputil –i –a C:DrvCerthdaHDALC2.inf
Теперь ошибка как при первой попытке не появляется, а вместо неё видим сообщение об успешной установке драйвера.
Поздравляем с успешной установкой!
Можно было и избежать мороки с массой команд и установить драйвер с помощью отключения проверки сертификата, но об этом уже в другой статье.
Загрузка…