Отключаем проверку цифровой подписи драйвера

Как самостоятельно подписать драйвер для windows 7

Все 64 битные версии windows, начиная с windows 7, по умолчанию запрещают установку драйверов устройств, для которых отсутствует действующая цифровая подпись. Наличие цифровой подписи гарантирует (в какой-то мере), что драйвер выпущен конкретным разработчиком или вендором, а его код не был модифицирован после того как он был подписан.

В windows 7 x64 существует несколько способов отключить проверку цифровой подписи устанавливаемого драйвера: с помощью групповой политики или тестового режима загрузки системы (подробнее все способы описаны в статье Отключаем проверку цифровой подписи для установки неподписанных драйверов в windows 7).

Сегодня мы покажем, как можно самостоятельно подписать любой неподписанный драйвер для 64 битной версии windows 7.

Предположим, что у нас имеется драйвер некого устройства для windows 7 x64, для которого отсутствует цифровая подпись (в нашем примере это будет драйвер для довольно старой видеокарты). Архив с драйверами под нашу версию windows был скачан с сайта производителя и его содержимое распаковано в каталог c:\tools\drv1\. Попробуем установить драйвер, добавив его в хранилище драйверов windows с помощью стандартной утилиты pnputil.

Pnputil –a c:\tools\drv1\xg20gr.inf

В процессе его установки система отобразит предупреждение о том, что система не может проверить цифровую подпись данного драйвера.

Попробуем подписать данный драйвер с помощью самоподписанного сертификата.

Какие инструменты нам понадобятся

Для работы нам понадобится скачать и установить (с настройками по умолчанию) следующие инструменты разработчика приложений для windows.

Создаем самоподписанный сертификат и закрытый ключ

Создадим в корне диска каталог C:\WinItProDriverCert.

Откроем командную строку и перейдем в следующий каталог:

cd C:\Program Files (x86)\Microsoft SDKs\windows\v7.1\bin

Создадим самоподписанный сертификат и закрытый ключ, выданный, допустим, для компании Winitpro:

makecert -r -sv C:\WinItProDriverCert\WinitproDrivers.pvk -n CN=»Winitpro» C:\WinItProDriverCert\WinItProDrivers.cer

На основе созданного сертификата создадим публичный ключ для сертификат издателя ПО (PKCS).

cert2spc C:\WinItProDriverCert\WinItProDrivers.cer C:\WinItProDriverCert\WinItProDrivers.spc

Объединим  публичный ключ (.spc) и персональный ключ (.pvk) в одном файле сертификата формата Personal Information Exchange (.pfx)

Подготовка пакета драйверов

Создадим каталог C:\WinItProDriverCert\xg20 и скопируем в него все файлы из каталога, в который первоначально был распакован архив с драйвером (c:\tools\drv1\). Убедить что среди файлов имеются файлы с расширением .sys и .inf (в нашем случае xg20grp.sys и  xg20gr).

Перейдем в каталог:

cd C:\WinDDK\7600.16385.1\bin\selfsign

На основе inf файла сгенерируем для нашей платформы cat файл (содержит информацию о всех файлах пакета драйвера).

inf2cat.exe /driver:»C:\WinItProDriverCert\xg20″ /os:7_X64 /verbose

Чтобы убедитесь, что процедура прошла корректно, проверьте что в логе присутствуют сообщения:

Catalog generation complete.

После выполнения команды в каталоге драйвера должен обновиться файл xg20gr.cat

Подписываем драйвер самоподписанным сертифкатом

Перейдите в каталог

cd C:\Program Files (x86)\Microsoft SDKs\windows\v7.1\Bin

Подпишем комплект файлов драйвера созданным нами сертификатом, в качестве сервиса таймстампа воспользуемся ресурсом Verisign.

Установка сертификата

Т.к. созданный нами сертификат является самоподписанным, система по-умолчанию ему не доверяет. Добавим наш сертификат в локальное хранилище сертификатов. Сделать это можно с помощью команд:

certmgr.exe -add C:\WinItProDriverCert\WinItProDrivers.cer -s -r localMachine ROOT certmgr.exe -add C:\WinItProDriverCert\WinItProDrivers.cer -s -r localMachine TRUSTEDPUBLISHER

Или из графического мастера добавления сертификатов (сертификат нужно поместить в хранилища Trusted Publishers и Trusted Root Certification Authorities)

Установка драйвера, заверенного самоподписанным сертификатом

Попробуем еще раз установить подписанный нами драйвер, выполнив команду:

Pnputil –i –a C:\WinItProDriverCert\xg20\xg20gr.inf

Теперь в процессе установки драйвера, окна-предупреждения об отсутствующей цифровой подписи драйвера не появится, система же просто выдаст сообщение о том, уверены ли вы, что хотите установить этот драйвер. Нажав «Install» — вы установите драйвер в системе.

Зачем нужна цифровая подпись драйвера

Цифровая подпись – это так называемая метка файла или библиотеки, которая гарантирует его безопасность. Она необходима, чтобы пользователь смог узнать о происхождении и разработчике приложения. Также подпись проверяется и самой операционной системой на начальном этапе установки любого исполняемого файла.

Если этот атрибут отсутствует или в нем найдены определенные ошибки, установка не начнется, а пользователь будет уведомлен о возможной опасности, к которой может привести использование не идентифицированной программы.

Цифровая подпись отображается во всплывающем окне, как только юзер запускает установку исполняемого файла. В этом окне необходимо предоставить ОС дополнительное разрешение на запуск мастера установки. Здесь же можно увидеть наименование сертификата. Он указывается после имени программы. На рисунке ниже представлен пример отображения окна User Account Control, в котором цифровая подпись приложения — это поле Publisher.

Рис. 1 – пример окна проверки сертификата программы

Цифровая подпись вшита не только в стандартные приложения и системные библиотеки. Её также можно встретить в драйверном ПО. Драйвер – это программа, которая отвечает за настройку работы аппаратных компонентов ПК и подключенных к нему устройств (видеокарта, мышка, клавиатура, принтер, микрофон и прочие). Как правило, все драйвера устанавливаются через окно диспетчера устройств. В нем можно настроить автоматическое обновление конфигурации для любого подключенного устройства.

Часто пользователи скачивают драйвера со сторонних источников. Некоторые из них могут быть кастомными (неофициальными), поэтому сертифицируемая подпись в таких файлах почти всегда отсутствует. В таком случае, компьютер определит отсутствие идентификатора, и вы не сможете выполнить установку.

Также, в Windows могут возникать ошибки конфигурации. Из-за этого даже драйвер с наличием официальной цифровой подписи может определяться как потенциальная угроза безопасности для ПК. 64-битные версии ОС сразу блокируют установку и удаляют файл приложения, если цифровая подпись не обнаружена.

Появившееся окно ошибки Windows может отображать один из следующих вариантов неполадки:

• «Отсутствие подписи драйвера»;
• «Система не может проверить производителя программы»;
• «Windows нужен драйвер с наличием цифровой подписи».

Рис. 2 – пример окна ошибки Windows Security

Самый легкий вариант решения проблемы – это отключение проверки цифровой подписи. Процесс настройки этого параметра может отличаться в зависимости от установленной на вашем компьютере версии Windows.

Перед тем как отключать эту функцию, пользователь должен быть осведомлен обо всех возможных угрозах для операционной системы и компьютера. Система может не распознавать подпись из-за её подделки или небезопасного содержания. В большинстве случаев, лучше избегать работы с приложениями без цифрового идентификатора.

Работаем с командной строкой

Как всегда на выручку приходит консоль Windows. С ее помощью отключение ненужной функции можно произвести так:

• Заходим в консоль по команде cmd в окне «Выполнить».
• Набираем следующую последовательность команд:

(после каждой из них жмем на «Enter»).

Затем перезапускаем компьютер, и любуемся полученным результатом. Это именно то, что нам было нужно.

Иное дело, что инсталляция неподписанных драйверов – мероприятие отнюдь не безопасное. Нужно это делать или нет решать вам самим. Ведь установка такого рода системных программ может закончиться крахом операционной системы. Хорошо если удастся откатить систему к первоначальному состоянию в безопасном режиме.

Но это далеко не всегда получается. Самый разумный выход – поискать подписанные драйвера устройств, и не морочить себе голову. Это можно сделать на сайтах производителей конкретного оборудования. Бывает так, что мы даже не думаем зайти на фирменный сайт, а хватаем первые попавшиеся системные программы на первом попавшемся сайте.

Желаем вам удачи в этом деле!

РИСКИ УСТАНОВКИ ДРАЙВЕРОВ БЕЗ ЦИФРОВОЙ ПОДПИСИ

Драйвер, по сути, является программой, как, например, браузер или видеопроигрыватель. Принцип работы подробно изложен в статье «Что такое драйвер». Исключение составляет лишь то, что он может не иметь исполнимых (EXE) файлов. Но драйвер — это также инструкция для операционной системы о том, как использовать то или иное устройство. А в этой инструкции прописаны самые различные команды, которым Windows придется следовать.

Что мешает разработчику драйвера заставить операционную систему, например, вывести на экран сообщение, в котором пользователю будет предложено что-то где-то скачать и установить? Или собрать персональные данные о пользователе и его действиях в интернете, а затем отправить все это злоумышленнику? Другими словами, установка драйверов с модифицированной либо отсутствующей подписью — то же самое, что установка каких-либо сомнительных программ из интернета или, например, использование взломанных пиратских приложений.

Четвертый способ

Еще один метод подразумевает использование и настройку групповой политики в вашей операционной системе. Сразу стоит отметить, что этот способ работает далеко не на всех сборках операционных систем, так что не факт, что он вам подойдет. Теперь выполняем следующие действия.

1. Открываем меню «Пуск».
2. Вводим в поиск gpedit.msc.
3. Откроется окно со множество директорий. Вам необходимо будет проследовать по нижеуказанному пути.
4. Сначала выбираем пункт — «Конфигурация пользователя». После этого переходим в ветку «административные шаблоны» и выбираем «система». Последнее, что от вас потребуется — найти пункт «установка драйвера».
5. Выбираем параметр «Цифровая подпись». Щелкаем по нему дважды левой кнопкой, либо жмем чуть левее «Изменить параметр».
6. Ставим переключатель в левом верхнем углу на «Выключено».
7. Принимаем изменения.

Защита от нелицензионных драйверов должна начать работать сразу же, но для надежности можете перезагрузить компьютер

Если вы соберётесь восстанавливать значение по умолчанию, обратите внимание, что если указать «Предупредить» о неподписанном драйвере, то даже если вы продолжите его установку, он работать не будет

Отключение проверки цифровой подписи драйверов Windows 10

Прежде чем отключить цифровую подпись драйверов Windows 10, оцените безопасность своих действий. Вы уверены в источнике, откуда скачиваете и устанавливаете новое ПО? Если да, то предлагаем разные варианты.

Способ 1. Загрузка Windows 10.

Это работает только единожды. При следующей перезагрузке проверка цифровой подписи снова включится. Итак, что нужно сделать:

1. Зайдите в параметры компьютера. Часто пиктограмма обозначается как значок шестеренки. Далее описываем по пунктам, которые вам следует выбрать.
2. Обновление и безопасность — Восстановление — Перезагрузить сейчас
3. В процессе перезагрузки перед вами появится выбор разных вариантов. Выберите «Поиск и устранение неисправностей», а далее по пути:
4. Нажмите «Перезагрузить»
5. В следующий раз вы увидите меню «Параметры перезагрузки», где уже присутствует нужная нам опция.
6. Нужно нажать цифру 7 или клавишу F7 Перезагрузка выполнится в нужном режиме и проверка цифровой подписи будет отключена. При следующей загрузке ПК все вернется в нормальное состояние.

Способ 2. Командная строка.

Здесь вы можете отключить проверку навсегда. Выполните следующие действия:

1. Запустите командную строку. Для этого нажмите кнопку «Пуск» (в левом нижнем углу экрана значок Windows) и в строке поиска наберите «командная строка». Вы еще только начнете печатать, а система возможно предложит правильный вариант.
2. Выберите значок командной строки левой кнопкой мыши.
3. В строке наберите bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS
4. Нажмите Enter и наберите bcdedit.exe -set TESTSIGNING ON
5. Перезагрузитесь.

Все должно сработать. В правом нижнем углу вы постоянно будете видеть напоминание о том, что проверка отключена. Включить проверку обратно можно командой bcdedit.exe -set TESTSIGNING OFF.

Способ 3. Редактор локальной групповой политики.

Этот способ подходит только для владельцев Windows 10 pro, так как отключить проверку цифровой подписи с помощью редактора в home версии вы не сможете – там он попросту отсутствует. Если же у вас расширенная версия, сделайте следующее:

1. Нажмите сочетание WIN+R и наберите в строке gpedit.msc
2. Здесь найдите последовательно Конфигурация пользователя — Административные шаблоны — Система — Установка драйвера.
3. Два раза нажмите по выделенному на скриншоте параметру.
4. Теперь либо щелкните по кнопке «Отключить» (помечена цифрой 1) либо выберите в выпадающем списке «Пропустить» (цифра 2). Для второго способа должна быть активна опция «Включено». После перезагрузки компьютера изменения вступят в силу.

Итак, мы рассмотрели, как отключить обязательную проверку подписи драйверов Windows 10 разными способами. Хотим еще раз напомнить вам, что все эти действия подвергают ваш компьютер риску. Поэтому будьте очень аккуратны.

Процесс самостоятельной подписи драйвера

c http-equiv=»Content-Type» content=»text/html;charset=UTF-8″>lass=»remon-after-2nd-h2″ id=»remon-1717026″>

В процессе для того, чтобы подписать драйвер самостоятельно, нам потребуется: создать сертификат, подписать драйвер этим сертификатом, установить сертификат в системе и установить драйвер. Начнем.

1. Создайте в корне диска C какую-либо папку (так к ней проще будет обращаться в дальнейшем), например, C:\cert, где мы будем работать с сертификатами и драйверами.
2. Запустите командную строку от имени администратора (нужны для 18-го шага). Далее используем следующие команды по порядку. Файлы драйвера пока не потребуются. Во время выполнения второй команды вас попросят ввести пароль, я использую password в окне запроса и далее в командах, вы можете использовать свой.

3. cd "C:\Program Files\Microsoft SDKs\Windows\v7.1\bin"

4. makecert -r -sv C:\cert\driver.pvk -n CN="remontka" C:\cert\driver.cer

5. cert2spc C:\cert\driver.cer C:\cert\driver.spc

6. pvk2pfx -pvk C:\cert\driver.pvk -pi password -spc C:\cert\driver.spc -pfx C:\cert\driver.pfx -po password

7. До этого этапа всё должно пройти как на скриншоте ниже, командную строку не закрываем.
8. В папке C:\cert создайте вложенную папку, например, drv и поместите туда свои файлы драйвера. Но: если вам требуется драйвер только для x64, не копируйте .inf файл для x86 систем в эту папку и наоборот. В командной строке используем следующие команды:

9. cd C:\WinDDK\7600.16385.1\bin\selfsign\

10. inf2cat.exe /driver:"C:\cert\drv" /os:7_X64 /verbose

11. В предыдущей команде для драйвера 32-бит укажите X86 вместо X64. Если будет предложено скачать .NET Framework, согласитесь, установите, а затем заново выполните команду. В идеале вы должны будете получить сообщение об успешном создании .cat файла для подписи. Однако, возможны ошибки, о наиболее частых — следующие два пункта. После исправления ошибок повторите команду из пункта 10.
12. DriverVer set to incorrect date — возникает при дате в файле драйвера до 21 апреля 2009 года. Решение: откройте файл .inf из папки drv в текстовом редакторе (можно в блокноте) и в строке DriverVer установите другую дату (формат: месяц/день/год).
13. Missing AMD64 CatalogFile entry (для 64-бит) или Missing 32-bit CatalogFile entry. Решение: откройте файл .inf из папки drv в текстовом редакторе и в разделе добавьте строку CatalogFile=catalog.cat
14. В итоге вы должны получить сообщение: Catalog generation complete с указанием пути к файлу каталога, в моем случае – C:\cert\drv\catalog.cat. Далее используем следующие команды (требуется подключение к Интернету).

15. cd "C:\Program Files\Microsoft SDKs\Windows\v7.1\bin"

16. signtool sign /f C:\cert\driver.pfx /p password /t http://timestamp.verisign.com/scripts/timestamp.dll /v C:\cert\drv\catalog.cat

17. Результат подписи файла драйвера без ошибок на скриншоте ниже. Следующий шаг — добавить самоподписанный сертификат в список доверенных в системе, сделать это можно следующими двумя командами по порядку

18. certmgr.exe -add C:\cert\driver.cer -s -r localMachine ROOT
    certmgr.exe -add C:\cert\driver.cer -s -r localMachine TRUSTEDPUBLISHER

19. В результате вы должны получить сообщение «CertMgr Succeeded». Если Failed или certmgr.exe не является внутренней или внешней командой — убедитесь, что командная строка запущена от имени администратора, а вы находитесь в нужной папке (см. 15 шаг).

И вот теперь можно закрыть командную строку и установить драйвер из папки C:\cert\drv с помощью диспетчера устройств, или нажав правой кнопкой по .inf файлу и выбрав пункт «Установить». Потребуется подтвердить установку драйвера в окне «Не удалось проверить издателя этих драйверов» — нажать «Все равно установить этот драйвер».

Обратите внимание, что возможные ошибки в диспетчере устройств, отображаемые для устройства с самостоятельно подписанным драйвером обычно не имеют отношения непосредственно к процессу подписи (та же ошибка для них будет появляться и без подписи, при простом отключении проверки цифровой подписи драйверов в особых вариантах загрузки). Т.е

искать причину в этом случае нужно в чем-то ещё и читать подробную инструкцию по использованию драйвера (например, в случае драйверов для FlashTool).

А вдруг и это будет интересно:

Зачем нужна цифровая подпись драйвера

Цифровая подпись – это так называемая метка файла или библиотеки, которая гарантирует его безопасность. Она необходима, чтобы пользователь смог узнать о происхождении и разработчике приложения. Также подпись проверяется и самой операционной системой на начальном этапе установки любого исполняемого файла.

Если этот атрибут отсутствует или в нем найдены определенные ошибки, установка не начнется, а пользователь будет уведомлен о возможной опасности, к которой может привести использование не идентифицированной программы.

Цифровая подпись отображается во всплывающем окне, как только юзер запускает установку исполняемого файла. В этом окне необходимо предоставить ОС дополнительное разрешение на запуск мастера установки. Здесь же можно увидеть наименование сертификата. Он указывается после имени программы. На рисунке ниже представлен пример отображения окна User Account Control, в котором цифровая подпись приложения — это поле Publisher.

Рис. 1 – пример окна проверки сертификата программы

Цифровая подпись вшита не только в стандартные приложения и системные библиотеки. Её также можно встретить в драйверном ПО. Драйвер – это программа, которая отвечает за настройку работы аппаратных компонентов ПК и подключенных к нему устройств (видеокарта, мышка, клавиатура, принтер, микрофон и прочие). Как правило, все драйвера устанавливаются через окно диспетчера устройств. В нем можно настроить автоматическое обновление конфигурации для любого подключенного устройства.

Часто пользователи скачивают драйвера со сторонних источников. Некоторые из них могут быть кастомными (неофициальными), поэтому сертифицируемая подпись в таких файлах почти всегда отсутствует. В таком случае, компьютер определит отсутствие идентификатора, и вы не сможете выполнить установку.

Также, в Windows могут возникать ошибки конфигурации. Из-за этого даже драйвер с наличием официальной цифровой подписи может определяться как потенциальная угроза безопасности для ПК. 64-битные версии ОС сразу блокируют установку и удаляют файл приложения, если цифровая подпись не обнаружена.

Появившееся окно ошибки Windows может отображать один из следующих вариантов неполадки:

• «Отсутствие подписи драйвера»;
• «Система не может проверить производителя программы»;
• «Windows нужен драйвер с наличием цифровой подписи».

Как отключить проверку цифровой подписи драйверов в Windows10 — 3 способа

Способ 1. Отключение цифровой подписи драйверов через параметры загрузки

Данный способ действует до первой перезагрузки компьютера. В дальнейшем необходимо повторить процедуру заново. И так, правой кнопкой мышки жмём в кнопку «Пуск» и выбираем «Параметры».

Во вкладке параметры Windows Вам необходимо выбрать «Обновление и безопасность»…

Далее, перейдите во вкладку «Восстановление». Затем нажмите на кнопку «Перезагрузить сейчас»…

После того как компьютер перезагрузится, на экране появится меню. Перейдите на вкладку «Диагностика»…

Затем перейдите по пути «Дополнительные параметры»…

После этого нажмите в кнопку «Параметры загрузки»…

Далее жмём «Перезагрузить»…

После перезагрузки компьютера откроется меню с выбором параметров. Для того чтобы отключить проверку цифровой подписи драйверов, тапните в кнопку под номером семь, или на клавиатуре F7.

После того как компьютер перезагрузится, можно устанавливать не подписанные драйвера в систему. Хочу отметить что данный способ работает до следующей перезагрузки компьютера. Для отключения проверки цифровой подписи драйверов навсегда, давайте рассмотрим ещё два простых способа.

Способ 2. Отключение цифровой подписи драйверов в редакторе локальной групповой политики

Этот способ подойдёт только для тех у кого установлена Windows 10 Pro. В домашней версии этой возможности нет, ну или «семёрка». Для того чтобы открыть редактор локальной групповой политики, воспользуемся «горячими клавишами», «Win+R». Далее, в окошке «Выполнить» введите команду gpedit.mscи нажмите «Ок».

Откроется окно «Редактор локальной групповой политики»…

В окне редактора перейдите в раздел «Конфигурация пользователя». «Административные шаблоны». «Система»…

В разделе «Система» перейдите в раздел «Установка драйвера». Затем необходимо открыть параметр «Цифровая подпись драйверов устройств»…

Затем включите данный параметр и выберете пункт «Пропустить». Подтвердите Ваши действия кнопкой «Ок»…

После всех манипуляций закройте редактор локальной групповой политики. Ну и конечно же перезагрузите компьютер. Для того чтобы изменения вступили в силу. Напоминаю что данный способ работает только на Windows 10 Pro.

Способ 3. Отключение через командную строку

Необходимо выполнить следующие действия — запустите командную строку нажатием правой клавишей мышки по кнопке «Пуск». Затем в выпадающем меню нажмите на пункт «Командная строка (Администратор)». Запуск будет произведён от имени администратора.

Далее, в открывшемся окне командной строки выполните две команды:

• bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS
• bcdedit.exe -set TESTSIGNING ON

Если всё сделали правильно, закройте командную строку и перезагрузите компьютер. После выполнения этих команд можете смело устанавливать драйвера без цифровой подписи (если конечно вы в них уверенны). Но есть один нюанс, Windows 10 Pro будет работать в тестовом режиме. Внизу справа появится вот такая надпись.

Чтобы вновь включить проверку подписи и убрать эту надпись, в командной строке введите такую команду:

bcdedit.exe -set TESTSIGNING OFF

Перезагрузите компьютер.