Com verificar la signatura de drivers a Windows i evitar errors

Els controladors de dispositiu són una peça clau perquè Windows pugui entendre's amb el maquinari: targeta gràfica, impressora, adaptador Wi-Fi, targeta de so, etc. Quan alguna cosa falla amb un driver, apareixen errors rars, dispositius que no funcionen o penges difícils d'explicar. I, per complicar una mica més les coses, des de fa anys Microsoft exigeix ​​que molts d'aquests drivers estiguin signats digitalment per poder carregar-se amb normalitat.

La verificació de la signatura de controladors a Windows és una mesura de seguretat potent, però també es pot convertir en un autèntic mal de cap quan necessites instal·lar un driver antic, un de proves o un d'un fabricant que no ha passat pel segell de Microsoft. En aquest article veureu amb tot detall què és la signatura de drivers, com comprovar-la, què fer quan apareix el famós error de «Windows no pot comprovar la signatura digital… (codi 52)» i quins mètodes hi ha per desactivar (temporal o permanentment) aquesta comprovació, amb tots els seus riscos.

Què és exactament la signatura de controladors a Windows

La signatura digital d'un controlador funciona com a certificat d'autenticitat, molt semblant al que s'utilitza en aplicacions signades. Bàsicament, indica que el fitxer del driver no ha estat modificat des que el va signar el desenvolupador i que, a més, ha passat per un procés de validació que Microsoft considera fiable.

Quan un fabricant envia els controladors a Microsoft, aquests poden ser sotmesos a proves (per exemple, amb HLK/HCK) o signats per atestació. En tots dos casos, el resultat és un paquet signat amb un certificat emès per Microsoft. Aquesta firma garanteix que el controlador està pensat per a un sistema operatiu i escenari d'ús determinat, i que no s'ha corromput ni alterat entre l'origen i el teu PC.

Per a l'usuari corrent, aquesta signatura actua com a filtre de seguretat: Windows només carrega per defecte drivers que han passat per aquest procés d'aprovació. Si intentes instal·lar un controlador sense signatura o amb una signatura no vàlida, el sistema pot bloquejar-lo, mostrar advertiments o directament no carregar el dispositiu, sobretot en versions de 64 bits a partir del Windows Vista.

En segon pla, la signatura de controladors serveix també per lluitar contra amenaces molt serioses com els rootkits, que es camuflen com a drivers del sistema per obtenir permisos de SYSTEM. Un cop malware d'aquest tipus s'instal·la com a controlador, pot monitoritzar trànsit, interceptar connexions amb certificats falsos, desactivar antivirus i ocultar-se a un nivell molt baix, fent gairebé impossible la seva detecció sense formatar.

Per tot això, la regla general és clara: sempre que puguis, fes servir drivers signats i procedents del fabricant o de Windows Update. Només t'hauries de saltar la signatura quan tinguis una raó de pes i sàpigues exactament què estàs instal·lant.

Cas pràctic: error Codi 52 «Windows no pot comprovar la signatura digital…»

A partir de Windows Vista x64 i en Windows Server 2008 en endavant, és força comú topar amb el missatge d'error: «Windows no pot comprovar la signatura digital dels controladors necessaris per a aquest dispositiu. Pot ser que un canvi de maquinari o programari recent hagi instal·lat un fitxer que no està signat correctament, està malmès o és programari maliciós d'un origen desconegut. (Codi 52)».

Aquest missatge significa, ni més ni menys, que la signatura del controlador no és vàlida per a les polítiques que estan actives en aquell moment al vostre sistema. Pot ser que el driver no estigui en absolut signat, que l'entitat emissora no sigui de confiança, que el certificat hagi caducat o que la integritat del fitxer s'hagi trencat.

A la pràctica, el resultat és que Windows impedeix que el dispositiu funcioni. Per exemple, és típic en alguns adaptadors Wi-Fi USB com certs models TP-Link TL-WN722N: l'Administrador de dispositius els reconeix, però mostra el codi 52 i el dispositiu no opera, llevat que arranquis el sistema desactivant temporalment l'aplicació obligatòria de la signatura de controladors (mitjançant F8 o opcions d'inici avançades).

Si heu de prémer F8 o utilitzar les opcions d'inici avançades a cada arrencada perquè el teu driver funcioni, és senyal que el problema és a la signatura. O bé el driver és antic, o s'ha modificat, o utilitza un certificat no fiable per a la versió de Windows que utilitzeu.

La solució ideal, sempre que sigui possible, és aconseguir una versió del controlador correctament signada, ja sigui des de la web oficial del fabricant oa través de Windows Update. Si això no és possible, hi ha mètodes per relaxar o desactivar la comprovació de signatura, però convé aplicar-los amb molt de compte.

Com validar la signatura de Microsoft en un enviament de drivers

En entorns de desenvolupament, proves o distribució de maquinari, és habitual necessitar verificar si un conjunt de drivers està realment signat per Microsoft, i si ho està mitjançant atestació o després de superar les proves HLK/HCK. Per això, el primer és descarregar el paquet signat des del panell corresponent de maquinari de Microsoft.

Els passos generals per descarregar els fitxers de controladors signats d'un enviament són: localitzar l'enviament al portal de maquinari, seleccionar l'identificador de producte privat, entrar als detalls del controlador i, dins de l'apartat «Paquets i propietats de signatura», fer servir l'opció de «Més» i després «Descarregar fitxers signats».

Un cop tinguis el paquet, l'element clau sol ser el fitxer .cat associat al controlador. Aquest catàleg conté la signatura i la informació de certificació. Des d'aquí podreu veure el certificat amb què s'ha signat i l'ús que se us permet.

Per verificar la signatura de Microsoft mitjançant la interfície gràfica, pots fer clic dret sobre el fitxer .cat del driver, obrir «Propietats» i després la pestanya «Firmes digitals». Aquí veuràs el nom del certificat utilitzat per a la signatura. Quan feu clic a «Detalls» sobre aquesta signatura i entreu a la pestanya «Detalls» del certificat, podreu consultar el camp «Ús millorat de claus» (EKU).

L'EKU indica per a què es pot fer servir aquest certificat de signatura. En el cas de controladors de maquinari de Windows, s'utilitzen identificadors d'objecte (OID) concrets. Un OID que acaba a 5 sol correspondre a un tipus de signatura que no és d'atestació, mentre que un OID que acaba a 1 indica que el controlador està signat per atestació. Aquesta distinció és important quan teniu dues versions d'un mateix driver i necessiteu saber quina és quina.

Comprovar signatures amb SignTool (signatura incrustada en fitxers .sys)

A més de la signatura al catàleg .cat, molts controladors del nucli porten una signatura incrustada directament al fitxer .sys. Per comprovar aquest tipus de signatura, l'eina estàndard és SignTool, inclosa al SDK de Windows ia les eines de desenvolupament de Microsoft.

La comanda típica per validar una signatura incrustada en un driver seria una cosa així com:

SignTool — comprovar signatura: SignTool verify /v /pa DriverFileName.sys

En aquesta ordre, l'opció verificar indica a SignTool que verifiqui la signatura del fitxer de controlador indicat. El modificador /v activa la sortida detallada, mostrant missatges de progrés i possibles advertiments, mentre que /pa obliga que la comprovació es faci segons els requisits de signatura per a instal·lació de dispositius PnP.

Tingues en compte que SignTool no necessita que especifiquis el certificat concret amb què es va signar el fitxer; el que fa és cercar als magatzems de certificats del sistema si la cadena de confiança arriba fins a una entitat de certificació arrel fiable. Per això, si utilitzeu certificats de prova, és obligatori instal·lar abans aquest certificat al magatzem de «Entitats de certificació arrel de confiança» de l'equip amb què esteu verificant.

SignTool — exemple pràctic: SignTool verify /v /pa amd64\toaster.sys

Si la verificació falla, SignTool mostrarà missatges derror indicant si el problema és que el certificat no es troba, que la cadena no arriba a una arrel de confiança, que l'ús de clau no és adequat o que la signatura no coincideix amb el contingut actual del fitxer (arxiu manipulat o malmès).

Drivers signats, no signats i genèrics de Windows

Al dia a dia d'un usuari de Windows, conviu bàsicament amb tres tipus de controladors: els genèrics proporcionats pel propi sistema, els drivers oficials del fabricant i, en menor mesura, drivers de tercers menys coneguts o versions de prova.

Els controladors genèrics de Microsoft s'instal·len automàticament perquè puguis utilitzar la majoria del maquinari des de la primera arrencada. Solen oferir un conjunt bàsic de funcions: per exemple, amb una impressora multifunció potser només pots imprimir, però no escanejar ni utilitzar les funcions avançades del panell.

Els drivers proporcionats pel fabricant del maquinari solen afegir característiques extra, milloren el rendiment i habiliten eines específiques: panells de control, utilitats de calibratge, perfils de color, funcions especials de so, etc. Si necessites desinstal·lar completament la GPU, fes servir DDU.

És molt habitual que, en cercar drivers a Google, apareguin primer webs de tercers que prometen «descarregar qualsevol controlador» o instal·lar-ho tot automàticament. Aquest tipus de llocs són una font clàssica de codi maliciós i controladors modificats, així que el millor és evitar-los. Si el vostre sistema té activa la comprovació de signatures, molts d'aquests drivers seran bloquejats en detectar-se com a no vàlids. Si prefereixes una eina per identificar drivers, pots fer servir Conductor fàcil.

Finalment, hi ha els drivers de proves o procedents de desenvolupadors més petits, que poden estar signats amb certificats autosignats o per entitats que no són reconegudes per Windows per defecte. En aquests casos, és quan comencen a aparèixer advertiments i errors com el codi 52.

Mètode 1: arrencar desactivant temporalment la signatura de controladors

La forma més senzilla i menys agressiva de saltar-se la restricció és utilitzar l'opció d'inici "Desactivar l'ús obligatori de controladors signats". Aquest mode només afecta aquesta sessió: en el reinici següent, Windows torna al comportament estàndard.

La idea és senzilla: inicies el sistema amb aquesta opció, instal·les el driver problemàtic i, un cop fet, reinicies normalment. Això té l'avantatge que reduïxes el temps en què el sistema està desprotegit, encara que no sempre garanteix que el driver segueixi funcionant en futures arrencades sense signar correctament.

Al Windows 8, Windows 10 i Windows 11, la clàssica tecla F8 està oculta per defecte, així que el més habitual és accedir a les opcions avançades d'arrencada des del propi sistema. Pots mantenir premuda la tecla Canviar (Majús) mentre feu clic a «Reiniciar» des del menú d'inici, o bé executar en una finestra de CMD o Executar:

Accés a inici avançat: shutdown.exe /r /o

Després de reiniciar, Windows mostrarà el menú d'opcions de diagnòstic. Des d'aquí, navega per Solucionar problemes > Opcions avançades > Configuració inicial. Quan accepteu, el sistema tornarà a reiniciar-se i veureu una llista d'opcions. Hi apareixerà «Deshabilitar l'ús obligatori de controladors signats», que normalment se selecciona prement la tecla F7.

En Windows 7, Windows Vista i les versions equivalents de Windows Server, sí que sol estar disponible F8 des de l'arrencada. Només cal prémer-la repetidament en encendre l'equip, entrar a les opcions avançades i triar directament «Deshabilitar l'ús obligatori de controladors signats».

Mètode 2: modificar permanentment l'arrencada amb bcdedit

Si necessites desactivar la comprovació de signatura de forma persistent (per exemple, en un entorn de proves o laboratori), pots recórrer a bcdedit, una eina de línia de ordres que permet canviar la configuració del carregador de Windows.

A diferència del mètode temporal anterior, els canvis amb bcdedit romanen després de cada reinici fins que els reverteixis. Per aquesta mateixa raó, cal usar-los amb molt de compte, perquè estaràs deixant la porta oberta que es carreguin drivers sense signatura vàlida.

Per desactivar la comprovació mitjançant bcdedit, obre una finestra del Símbol de sistema amb permisos d'administrador (clic dret «Executar com a administrador») i executa, per exemple:

bcdedit — activar mode prova i desactivar integritat: bcdedit /set testsigning on
bcdedit /set nointegritychecks on

el paràmetre testsigning on activa el mode de prova, pensat perquè els desenvolupadors puguin carregar controladors de test signats amb certificats de prova. El valor nointegritychecks on desactiva les comprovacions d'integritat de la signatura, cosa que permet que Windows carregui drivers encara que la seva signatura no passi les validacions habituals.

Quan vulguis tornar al comportament normal de Windows, heu d'eliminar aquests valors de la configuració del carregador d'arrencada amb:

bcdedit — revertir testsigning/nointegritychecks: bcdedit /deletevalue testsigning
bcdedit /deletevalue nointegritychecks

Si tens dubtes sobre quins valors estan actius actualment, pots consultar la configuració amb:

Comprovar estat del carregador: bcdedit /v

Abans d'aplicar aquest tipus de canvis permanents cal tenir en compte dos punts importants: si tens BitLocker habilitat, desactiva-ho temporalment, i si a la BIOS/UEFI està activat el Arranjament segur, hauràs de deshabilitar-ho, ja que aquest mecanisme impedeix precisament la càrrega de sistemes o configuracions sense comprovar.

Desactivar la signatura de drivers des de les directives de grup

Els usuaris de Windows 10/11 Pro i edicions equivalents poden ajustar el comportament de la signatura de controladors mitjançant l'Editor de directives de grup local (gpedit.msc). Aquest mètode no està disponible a les edicions Home.

Per utilitzar-lo, obre el quadre Executar amb Win + R, escriu gpedit.msc i prem Intro. A l'editor que s'obre, navega fins a «Configuració d'usuari» > «Plantilles administratives» > «Sistema» > «Instal·lació de controladors».

Dins d'aquesta ruta trobareu l'opció «Signatura de codi per a controladors de dispositiu». Fes-hi doble clic per obrir-ne la configuració. Allí podràs triar entre diferents polítiques: advertir, bloquejar o permetre.

Si seleccioneu «Desactivar» o ajusteu la directiva perquè no exigeixi la signatura, Windows serà menys estricte en instal·lar controladors, encara que has de tenir en compte que això s'aplica al context d'usuari i pot no cobrir tots els casos del kernel o de drivers carregats en etapes molt primerenques de l'arrencada.

Després de canviar aquesta política, és recomanable reiniciar l'equip per assegurar-te que les noves regles s'apliquen del tot. I, un cop hagis instal·lat el driver problemàtic, planteja't tornar a una configuració més restrictiva per no deixar aquesta porta oberta de forma indefinida.

Mode de prova (Test Mode) a Windows

Windows inclou un «Mode de prova» pensat justament per a escenaris en què cal executar controladors o aplicacions que no estan signats amb certificats estàndard. En aquest mode, es permet la càrrega de drivers de prova sense necessitat de signar-los amb una entitat de certificació reconeguda per Microsoft.

Per activar o desactivar aquest mode també s'utilitza bcdedit. Des d'una consola amb permisos d'administrador, podeu controlar el paràmetre TESTSIGNING. Tot i que moltes guies ho mostren al revés, el funcionament típic és:

TESTSIGNING — activar ordre: bcdedit /set TESTSIGNING ON

En establir TESTSIGNING a ON, el sistema inicia en mode de prova i veuràs una marca d'aigua a l'escriptori indicant alguna cosa com a «Mode de prova Windows…». Mentre aquest mode està actiu, podreu instal·lar i carregar controladors signats amb certificats de proves.

Quan acabis d'instal·lar o provar els controladors necessaris, convé tornar al mode normal executant l'ordre inversa:

TESTSIGNING — desactivar l'ordre: bcdedit /set TESTSIGNING OFF

Aquest enfocament és una mena de punt intermedi entre el mètode 100% temporal de l'arrencada amb F7 i la desactivació completa de les comprovacions d'integritat. Està especialment orientat a desenvolupadors i testers que treballen amb drivers encara en desenvolupament.

Desactivar completament la verificació de signatura de controladors

Hi ha un mètode més radical que desactiva de forma permanent una de les funcions de seguretat més importants relacionades amb els controladors: les verificacions de la integritat de la signatura. És una solució extrema i només s'hauria d'usar quan no en queda cap altra.

La idea és simple: indicar a Windows mitjançant bcdedit que no faci comprovacions d'integritat en carregar controladors. Per fer-ho, en una consola d'administrador se sol utilitzar una ordre com:

NoIntegrityChecks — desactivar comprovacions: bcdedit.exe /set nointegritychecks on

Amb aquest ajustament, Windows permetrà instal·lar i carregar drivers que no superin les comprovacions de signatura. És a dir, pràcticament qualsevol controlador es podrà executar, vingui d'on vingui, sempre que la resta de mecanismes (com Secure Boot) no ho impedeixin.

Un cop hagis instal·lat tots els controladors que necessitis, és molt aconsellable revertir aquest canvi i tornar al valor per defecte per recuperar la protecció. Per fer-ho, pots executar:

NoIntegrityChecks — restaurar comprovacions: bcdedit.exe /set nointegritychecks off

Desactivar permanentment aquestes verificacions augmenta molt la superfície d'atac: un driver maliciós pot entrar per aquesta via amb permisos màxims i sense que Windows el freni. Per això, en entorns personals sol ser més raonable fer servir mètodes temporals, o buscar alternatives de drivers signats, abans que deixar el sistema desprotegit tot el temps.

Perills reals d'instal·lar controladors sense signatura

Pot semblar que la signatura de drivers és un fastigueig quan només vols que funcioni el teu adaptador Wi-Fi o la teva impressora antiga, però convé recordar per què hi ha aquesta restricció. Les amenaces basades en drivers (rootkits, bootkits, etc.) són de les més perilloses que hi ha.

Un controlador maliciós s'executa amb privilegis de SYSTEM, per sobre dels usuaris i de moltes defenses. Des d'aquí podeu interceptar tot el trànsit de xarxa, manipular certificats per redirigir connexions a webs falses, registrar pulsacions de teclat, espiar contrasenyes i molt més.

A més, aquest tipus de codi maliciós sol ser pràcticament invisible als antivirus i eines de seguretat que s'executen en el sistema operatiu mateix, perquè es carrega a un nivell més baix. En molts casos, l'únic remei fiable per desfer-se d'un rootkit d'aquest tipus és formatar completament i reinstal·lar Windows.

Per això, mai no hauries de desactivar la signatura de controladors a la lleugera ni fiar-te de programes que et demanen que la desactivis per instal·lar suposats «drivers màgics» o «optimitzadors». Abans de jugar amb aquestes opcions, val la pena cercar alternatives de fonts fiables o plantejar-se si realment necessites aquest controlador concret.

La regla d'or és senzilla: només instal·la controladors procedents de fonts de confiança, especialment quan decideixes relaxar o desactivar la verificació de signatura. Una petita drecera avui es pot convertir en un problema enorme demà si un driver infectat pren el control de l'equip.