Πιστοποιητικά και υπογραφές προγραμμάτων οδήγησης στα Windows: ένας πλήρης οδηγός

Στα Windows, το ελεγκτές και οι ψηφιακές υπογραφές τους Έχουν γίνει βασικό στοιχείο της ασφάλειας του συστήματος. Πέρα από την απλή ενεργοποίηση ενός εκτυπωτή, μιας κάρτας γραφικών ή μιας έξυπνης κάρτας, αυτό που είναι σημαντικό σήμερα είναι το σύστημα να μπορεί να επαληθεύσει ότι το λογισμικό είναι γνήσιο, έχει ακεραιότητα και προέρχεται από έναν αξιόπιστο προμηθευτή.

Αν έχετε συναντήσει ποτέ μηνύματα όπως «Τα Windows δεν μπορούν να επαληθεύσουν τον εκδότη αυτού του λογισμικού προγράμματος οδήγησης» Ή σφάλματα που σχετίζονται με πιστοποιητικά κατά την εγκατάσταση ενός προγράμματος οδήγησης—ξέρετε πόσο απογοητευτικό μπορεί να είναι αυτό. Σε αυτό το άρθρο, θα αναλύσουμε με ηρεμία πώς λειτουργεί η υπογραφή προγραμμάτων οδήγησης στα Windows (τόσο σε λειτουργία πυρήνα όσο και σε λειτουργία χρήστη), ποιες απαιτήσεις αλλάζουν ανάλογα με την έκδοση των Windows, πώς να υπογράφετε τα δικά σας προγράμματα οδήγησης και ποιες επιλογές έχετε για να απενεργοποιήσετε με ασφάλεια την επαλήθευση υπογραφής όταν δεν έχετε άλλη επιλογή.

Τι είναι η υπογραφή προγραμμάτων οδήγησης στα Windows και γιατί είναι τόσο σημαντική;

La llamada υπογραφή οδηγού Αυτό περιλαμβάνει απλώς τη συσχέτιση μιας ψηφιακής υπογραφής (βάσει πιστοποιητικών) με ένα πακέτο προγράμματος οδήγησης. Αυτή η υπογραφή εφαρμόζεται συνήθως στο αρχείο καταλόγου του πακέτου (.CAT) ή απευθείας στα δυαδικά αρχεία του προγράμματος οδήγησης (.SYS, .DLL, κ.λπ.) χρησιμοποιώντας ενσωματωμένες τεχνικές υπογραφής.

Κατά την εγκατάσταση της συσκευής, τα Windows χρησιμοποιούν αυτά ψηφιακές υπογραφές για δύο βασικά πράγματαΤο σύστημα ελέγχει ότι το πακέτο δεν έχει τροποποιηθεί από την υπογραφή του (ακεραιότητα) και επιβεβαιώνει την ταυτότητα του προμηθευτή λογισμικού (εκδότη του προγράμματος οδήγησης). Εάν υπάρχει κάποιο πρόβλημα, εμφανίζεται μια προειδοποίηση ή, σε πιο αυστηρές περιπτώσεις, η εγκατάσταση ή η φόρτωση του προγράμματος οδήγησης μπλοκάρεται.

Στις εκδόσεις 64-bit των Windows Vista και νεότερες, η Microsoft εισήγαγε μια αρκετά σαφή πολιτική: Όλα τα προγράμματα οδήγησης λειτουργίας πυρήνα πρέπει να είναι υπογεγραμμένα να είναι δυνατή η φόρτωση, με πολύ λίγες εξαιρέσεις. Αυτό τοποθετεί τα προγράμματα οδήγησης στην ίδια κατηγορία ασφαλείας με τα υπόλοιπα δυαδικά αρχεία του συστήματος, επειδή μια αποτυχία σε επίπεδο πυρήνα μπορεί να θέσει σε κίνδυνο εντελώς το σύστημα.

Οι κανόνες έχουν γίνει πιο αυστηροί με El tiempoΞεκινώντας με τα Windows 10 έκδοση 1507, όλα τα προγράμματα οδήγησης υπογράφηκαν μέσω του Κέντρο Ανάπτυξης του υλικού Microsoft Είναι υποχρεωτικό να υπογράφονται με SHA-2. Το παλιό SHA-1 κατέστη παρωχημένο για λόγους κρυπτογραφικής ασφάλειας και η Microsoft το αφαιρεί σταδιακά από ολόκληρο το οικοσύστημα.

Υπάρχει μια σημαντική λεπτομέρεια: τα δυαδικά αρχεία προγραμμάτων οδήγησης λειτουργίας πυρήνα που έχουν υπογραφεί με διπλά πιστοποιητικά (SHA-1 + SHA-2) και τα οποία έχουν εκδοθεί από οντότητες εκτός Microsoft ενδέχεται να έχουν προβλήματα. συστήματα πριν από τα Windows 10...ή ακόμα και να προκαλέσουν διακοπές λειτουργίας στα Windows 10 και σε νεότερες εκδόσεις. Για να αποτρέψει αυτό, η Microsoft κυκλοφόρησε την ενημέρωση KB3081436, η οποία περιλαμβάνει τα σωστά hashes αρχείων και διορθώνει τη συμπεριφορά φόρτωσης σε αυτές τις περιπτώσεις.

Επισκόπηση της υπογραφής προγραμμάτων οδήγησης στα Windows

Για να κατανοήσουμε πλήρως πώς λειτουργούν όλα αυτά, είναι χρήσιμο να διαχωρίσουμε τις έννοιες. Από τη μία πλευρά, υπάρχει το υπογραφή κωδικού οδηγού (λειτουργία πυρήνα ή λειτουργία χρήστη) και, αφετέρου, οι απαιτήσεις υπογραφής για την εγκατάσταση συσκευών Plug and Play (PnP). Παρόλο που συμβαδίζουν, δεν είναι ακριβώς οι ίδιες: μπορείτε να έχετε ένα πρόγραμμα οδήγησης που είναι σωστά υπογεγραμμένο σε δυαδικό επίπεδο, αλλά που δεν πληροί κάποια πρόσθετη απαίτηση εγκατάστασης.

Η Microsoft διαθέτει συγκεκριμένη τεκμηρίωση σχετικά με ψηφιακές υπογραφές για μονάδες πυρήνα στα Windows Vista και σε νεότερα συστήματαΑυτό το έγγραφο περιγράφει λεπτομερώς ποια πιστοποιητικά είναι έγκυρα, πώς θα πρέπει να δημιουργούνται αλυσίδες εμπιστοσύνης και ποιοι αλγόριθμοι κατακερματισμού υποστηρίζονται (προς το παρόν SHA-2). Για προγράμματα οδήγησης που μεταδίδουν προστατευμένο περιεχόμενο (ήχο και βίντεο με DRM, PUMA, PAP, PVP-OPM, κ.λπ.), υπάρχουν επίσης ειδικές απαιτήσεις υπογραφής κώδικα που εστιάζουν στην προστασία περιεχομένου πολυμέσων.

Όσον αφορά τη ροή των εκδόσεων, σήμερα υπάρχουν διάφοροι τρόποι για να Υποβολή προγραμμάτων οδήγησης στην πύλη υλικού της MicrosoftΓια τα προγράμματα οδήγησης παραγωγής, η τυπική προσέγγιση είναι η εκτέλεση δοκιμών χρησιμοποιώντας HLK ή το παλαιότερο HCK και η μεταφόρτωση τόσο του δυαδικού αρχείου όσο και των αρχείων καταγραφής δοκιμών. Για σενάρια μόνο για υπολογιστές-πελάτες στα Windows 10, μπορεί να χρησιμοποιηθεί η υπογραφή βεβαίωσης, η οποία μειώνει την ανάγκη για αυτοματοποιημένους ελέγχους διατηρώντας παράλληλα την επικύρωση και την υπογραφή από τη Microsoft.

Η επιλογή του δοκιμαστική υπογραφή Σχεδιασμένο για εσωτερική ανάπτυξη και δοκιμή, όπου χρησιμοποιούνται μη δημόσια πιστοποιητικά ή πιστοποιητικά που εκδίδονται από ιδιωτικό PKI. Αυτά τα προγράμματα οδήγησης θα φορτωθούν μόνο εάν το σύστημα έχει ρυθμιστεί σε δοκιμαστική λειτουργία ή με συγκεκριμένες πολιτικές που επιτρέπουν τα δοκιμαστικά προγράμματα οδήγησης.

Εξαιρέσεις και ελεγκτές με διασταυρούμενη υπογραφή

Σε ενδιάμεσες εκδόσεις των Windows 10, το λεγόμενο «ελεγκτές με διασταυρούμενη υπογραφή» Τα προγράμματα οδήγησης με διασταυρούμενη υπογραφή εξακολουθούν να επιτρέπονται υπό ορισμένες προϋποθέσεις. Αυτά είναι προγράμματα οδήγησης υπογεγραμμένα από τον προμηθευτή με ένα πιστοποιητικό Authenticode συνδεδεμένο με ένα ενδιάμεσο πιστοποιητικό υπογεγραμμένο από τη Microsoft, παρακάμπτοντας την πλήρη ροή εργασίας της πύλης υλικού.

Η Microsoft διατηρεί αρκετές εξαιρέσεις για να αποτρέψει την αποτυχία εκκίνησης ήδη ανεπτυγμένων συστημάτων. Τα προγράμματα οδήγησης με διασταυρούμενη υπογραφή επιτρέπονται στις ακόλουθες περιπτώσεις: Ο υπολογιστής αναβαθμίστηκε από προηγούμενη έκδοση των Windows σε Windows 10 έκδοση 1607? Ο εκκίνηση Η Ασφαλής εκκίνηση είναι απενεργοποιημένη στο BIOS/UEFI ή το πρόγραμμα οδήγησης είναι υπογεγραμμένο με πιστοποιητικό που εκδόθηκε πριν από τις 29 Ιουλίου 2015 και συνδέεται με μια υποστηριζόμενη διασταυρούμενη αρχή έκδοσης πιστοποιητικών (CA).

Για να μειωθεί ο κίνδυνος αχρηστίας του συστήματος, το ελεγκτές εκκίνησης Δεν αποκλείονται ακόμη και αν δεν συμμορφώνονται με τις νέες πολιτικές, αλλά ο Βοηθός Συμβατότητας Προγραμμάτων μπορεί να τα επισημάνει και να προτείνει την αφαίρεση ή την αντικατάστασή τους. Η ιδέα είναι να αποφευχθεί η διακοπή της ακολουθίας εκκίνησης, αλλά να αφαιρεθούν σταδιακά τα μη συμβατά προγράμματα οδήγησης.

Απαιτήσεις υπογραφής έκδοσης των Windows

Οι απαιτήσεις υπογραφής ποικίλλουν ανάλογα με το συγκεκριμένη έκδοση του λειτουργικού συστήματος και αν το σύστημα χρησιμοποιεί Ασφαλή εκκίνηση. Σε γενικές γραμμές, ο πίνακας πολιτικής υπογραφής για τις εκδόσεις-πελάτες μπορεί να συνοψιστεί ως εξής:

• Windows Vista και Windows 7και επίσης Windows 8+ με απενεργοποιημένη την ασφαλή εκκίνησηΣτα πιστοποιητικά 64-bit, απαιτείται υπογραφή, ενώ στα πιστοποιητικά 32-bit, η υπογραφή δεν ήταν υποχρεωτική. Η υπογραφή μπορεί να ενσωματωθεί στο αρχείο ή σε έναν συσχετισμένο κατάλογο και ο απαιτούμενος αλγόριθμος είναι SHA-2. Η αλυσίδα πιστοποιητικών πρέπει να τερματίζεται σε τυπικές αξιόπιστες ρίζες για την Ακεραιότητα Κώδικα.
• Windows 8 και 8.1, και Windows 10 εκδόσεις 1507 και 1511 με ενεργοποιημένη την Ασφαλή εκκίνησηΤόσο τα προγράμματα οδήγησης 32-bit όσο και τα 64-bit απαιτούν υπογεγραμμένα προγράμματα οδήγησης. Η ενσωματωμένη υπογραφή ή η υπογραφή καταλόγου εξακολουθεί να επιτρέπεται, χρησιμοποιώντας SHA-2, βασιζόμενη σε τυπικές ρίζες για την ακεραιότητα του κώδικα.
• Windows 10 εκδόσεις 1607, 1703 και 1709 με ασφαλή εκκίνησηΗ απαίτηση γίνεται αυστηρότερη και οι υπογραφές πρέπει να είναι αγκυρωμένες σε συγκεκριμένα πιστοποιητικά ρίζας της Microsoft (Microsoft Ρίζα Αρχή έκδοσης πιστοποιητικών Microsoft Authority 2010, Αρχή έκδοσης πιστοποιητικών ρίζας της Microsoft και Αρχή έκδοσης πιστοποιητικών ρίζας της Microsoft).
• Windows 10 έκδοση 1803 και νεότερες εκδόσεις με ασφαλή εκκίνησηΔιατηρούνται οι ίδιες απαιτήσεις υπογραφής που συνδέονται με τις προαναφερθείσες αρχές root της Microsoft, τόσο για συστήματα 32-bit όσο και για 64-bit.

Μαζί με την υπογραφή του κωδικού προγράμματος οδήγησης, το πακέτο πρέπει επίσης να συμμορφώνεται με τις απαιτήσεις υπογραφής για την εγκατάσταση συσκευών PnPΑυτό σημαίνει ότι τα αρχεία .INF, οι κατάλογοι και τα δυαδικά αρχεία πρέπει να είναι σωστά συνδεδεμένα και να αντικατοπτρίζονται στην υπογραφή για το πρόγραμμα εγκατάστασης της συσκευής (και το Διαχείριση συσκευών) τα θεωρούν έγκυρα.

Υπάρχουν επίσης ειδικοί τύποι οδηγών, όπως π.χ. ELAM (Πρόγραμμα προστασίας από κακόβουλο λογισμικό για πρώιμη εκκίνηση)τα οποία φορτώνονται πολύ νωρίς στη διαδικασία εκκίνησης για να προστατεύσουν το σύστημα από malware χαμηλού επιπέδου. Αυτά τα προγράμματα οδήγησης έχουν πρόσθετες απαιτήσεις υπογραφής και πιστοποίησης που τεκμηριώνονται στον οδηγό προστασίας από λογισμικό κακόβουλης λειτουργίας πρώιμης εκκίνησης.

Υπογραφή προγράμματος οδήγησης για Windows 10, Windows 8.x και Windows 7

Εάν είστε προγραμματιστής προγραμμάτων οδήγησης ή εργάζεστε σε περιβάλλον όπου διανέμονται προσαρμοσμένα προγράμματα οδήγησης, πρέπει να συμμορφώνεστε με τις Πρόγραμμα συμβατότητας υλικού των Windows (WHCP) χρησιμοποιώντας τα κατάλληλα εργαλεία για κάθε έκδοση: HLK για Windows 10 και HCK για παλαιότερες εκδόσεις.

Στην περίπτωση των Windows 10, η τυπική ροή θα ήταν: λήψη του Κιτ Εργαστηρίου Υλικού (HLK) Για κάθε έκδοση των Windows 10 που θέλετε να υποστηρίξετε, εγκαταστήστε το περιβάλλον δοκιμών και εκτελέστε μια πλήρη πιστοποίηση σε έναν υπολογιστή-πελάτη που εκτελεί αυτήν την έκδοση. Κάθε εκτέλεση θα δημιουργεί ένα αρχείο καταγραφής δοκιμών.

Εάν έχετε δοκιμάσει το πρόγραμμα οδήγησης σε πολλές εκδόσεις, θα έχετε πολλά αρχεία καταγραφής. Αυτό είναι συνηθισμένο. συνδυάστε όλα τα κορμούς σε μία μόνο αναφορά χρησιμοποιώντας την τελευταία έκδοση του HLK. Αυτός ο συνδυασμός απλοποιεί την υποβολή στην πύλη υλικού και επιτρέπει σε μια μεμονωμένη εταιρεία να καλύπτει πολλαπλές εκδόσεις συστήματος.

Μόλις έχετε τους καταχωρητές, στέλνετε το δυαδικό αρχείο του ελεγκτή και τα συνδυασμένα αποτελέσματα HLK στον Πίνακας Κέντρου Προγραμματιστών Υλικού των WindowsΕκεί επιλέγετε τον τύπο υπογραφής που θέλετε (για παράδειγμα, παραγωγή, βεβαίωση κ.λπ.), ρυθμίζετε τις ιδιότητες της αποστολής και περιμένετε να δημιουργήσει η αυτόματη διαδικασία της Microsoft τους υπογεγραμμένους καταλόγους και να σας επιστρέψει το ήδη πιστοποιημένο πακέτο.

Μια παρόμοια προσέγγιση ακολουθείται για τα Windows 7, Windows 8 και Windows 8.1, αλλά χρησιμοποιώντας το Κιτ Πιστοποίησης Υλικού (HCK) κατάλληλο για κάθε έκδοση. Η Microsoft διατηρεί έναν οδηγό χρήστη για αυτό το κιτ που εξηγεί τη ροή εργασίας δοκιμών, επικύρωσης και παράδοσης.

Υπογραφή προγράμματος οδήγησης για εκδόσεις πριν από την έκδοση 1607 των Windows 10

Πριν από την άφιξη των Windows 10 έκδοση 1607, πολλοί τύποι προγραμμάτων οδήγησης χρειάζονταν ένα Αυθεντικό πιστοποιητικό σε συνδυασμό με μια διασταυρούμενη πιστοποίηση της Microsoft. Αυτή η τεχνική, γνωστή ως διασταυρούμενη υπογραφή, επέτρεπε στους κατασκευαστές να υπογράφουν τα προγράμματα οδήγησης τους και να τα δέχονται τα Windows σαν να ήταν «ευλογημένα» από την υποδομή της Microsoft.

Μεταξύ των ελεγκτών που απαιτούσαν αυτό το μοντέλο υπογραφής ήταν οι προγράμματα οδήγησης συσκευών σε λειτουργία πυρήναΑυτά περιλαμβάνουν προγράμματα οδήγησης λειτουργίας χρήστη που αλληλεπιδρούν στενά με τον πυρήνα και τα προγράμματα οδήγησης που χρησιμοποιούνται για την αναπαραγωγή ή την επεξεργασία προστατευμένου περιεχομένου (ήχος και βίντεο με προστασία DRM). Τα τελευταία περιλαμβάνουν προγράμματα οδήγησης ήχου που βασίζονται σε PUMA ή PAP, καθώς και προγράμματα οδήγησης βίντεο που διαχειρίζονται την προστασία εξόδου (PVP-OPM).

Η υπογραφή κώδικα για προστατευμένα στοιχεία πολυμέσων έχει τις δικές της οδηγίες, καθώς η αλυσίδα επεκτάσεων εμπιστοσύνης και πιστοποιητικών πρέπει να διασφαλίζει ότι το προστατευμένο περιεχόμενο δεν μπορεί να υποκλαπεί ή να χειραγωγηθεί εύκολα.

Πρακτική χρήση του SignTool για την υπογραφή προγραμμάτων οδήγησης σε λειτουργία πυρήνα (Windows 7 και 8)

Στην πράξη, το κορυφαίο εργαλείο για την υπογραφή δυαδικών αρχείων στα Windows είναι SignTool, που περιλαμβάνεται στο SDK των Windows. Για τα προγράμματα οδήγησης λειτουργίας πυρήνα στα Windows 7 και 8, υπάρχουν ορισμένες επιλογές που είναι ιδιαίτερα χρήσιμες κατά την υπογραφή και την επαλήθευση.

Μεταξύ των πιο σημαντικών παραμέτρων του SignTool είναι: /ac για να προσθέσετε ένα επιπλέον πιστοποιητικό (όπως το διασταυρούμενο πιστοποιητικό της Microsoft)/f για να υποδείξετε το αρχείο που περιέχει το πιστοποιητικό υπογραφής (για παράδειγμα, ένα .pfx), /p για τον κωδικό πρόσβασης αυτού του PFX, /fd για να καθορίσετε τον αλγόριθμο κατακερματισμού (για παράδειγμα, /fd sha256 για να επιβάλετε το SHA-256, καθώς το SHA-1 είναι η ιστορική προεπιλογή).

Η παράμετρος είναι επίσης θεμελιώδης /n «Κοινό όνομα του πιστοποιητικού»Αυτό σας επιτρέπει να επιλέξετε το σωστό πιστοποιητικό από το χώρο αποθήκευσης πιστοποιητικών των Windows χρησιμοποιώντας το Κοινό του όνομα. Για να προσθέσετε χρονικές σημάνσεις, μπορείτε να χρησιμοποιήσετε το /t με έναν κλασικό διακομιστή Authenticode ή το /tr με έναν διακομιστή συμβατό με RFC 3161, που είναι η πιο σύγχρονη και συνιστώμενη επιλογή.

Μια πιθανή ροή εργασίας θα ήταν η συλλογή των δυαδικών αρχείων του προγράμματος οδήγησης σε έναν κατάλογο εργασίας ή ακόμα και η αντιγραφή όλων στον φάκελο bin του SDK των Windows. Στη συνέχεια, αποκτάται το πιστοποιητικό υπογραφής κώδικα και, εάν είναι απαραίτητο, το Διασταυρούμενη πιστοποίηση της Microsoft (για παράδειγμα, το CrossCert που αντιστοιχεί στην CA που εξέδωσε το πιστοποιητικό σας). Και τα δύο τοποθετούνται στον ίδιο κατάλογο από τον οποίο θα εκτελέσετε το SignTool.

Με όλα έτοιμα, η εντολή-παράδειγμα θα μπορούσε να είναι κάτι σαν: εργαλείο υπογραφής signtool /ac CrossCert.crt /f CodeSign.pfx /p password1234 /fd sha256 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sysΑυτό δημιουργεί μια σύγχρονη υπογραφή με SHA-256, περιλαμβάνει την διασταυρούμενη πιστοποίηση και προσθέτει μια χρονική σήμανση RFC 3161, η οποία είναι απαραίτητη για να παραμείνει η υπογραφή έγκυρη ακόμη και μετά τη λήξη του πιστοποιητικού.

Μόλις υπογραφεί, συνιστάται η επαλήθευση με μια εντολή όπως signtool verify -v -kp filter.sysΗ σημαία -v εμφανίζει λεπτομερείς πληροφορίες, ενώ η -kp ελέγχει την υπογραφή σε σχέση με τα κριτήρια του προγράμματος οδήγησης λειτουργίας πυρήνα. Εάν η έξοδος υποδεικνύει ότι η υπογραφή είναι έγκυρη και η αλυσίδα εμπιστοσύνης καταλήγει σε μια αποδεκτή ρίζα, το πρόγραμμα οδήγησης είναι έτοιμο για ανάπτυξη.

Είναι σημαντικό να θυμάστε ότι, σε πολλές περιπτώσεις, το αρχείο καταλόγου (.CAT) είναι επίσης υπογεγραμμένο. Η διαδικασία επαναλαμβάνεται: το αρχείο .CAT υπογράφεται, επαληθεύεται και, αφού όλα είναι εντάξει, το πρόγραμμα οδήγησης εγκαθίσταται κανονικά στο σύστημα.

Υπογραφή για βεβαίωση και δημιουργία πακέτων CAB

Η Microsoft προσφέρει το υπογραφή ως βεβαίωση ως ένας σχετικά ελαφρύς τρόπος διανομής προγραμμάτων οδήγησης, ειδικά σε συστήματα-πελάτες Windows 10. Ο προμηθευτής είναι υπεύθυνος για τη διασφάλιση ότι το πρόγραμμα οδήγησης πληροί τις απαιτήσεις και η Microsoft περιορίζεται στην επικύρωση και την υπογραφή, αποφεύγοντας την πλήρη σειρά δοκιμών HLK σε ορισμένα σενάρια.

Για να στείλετε έναν ελεγκτή με βεβαίωση, ένα Αρχείο CAB το οποίο ομαδοποιεί τα βασικά στοιχεία του πακέτου. Ένα τυπικό CAB περιλαμβάνει το ίδιο το δυαδικό πρόγραμμα οδήγησης (.SYS), το αρχείο INF (.INF) που θα χρησιμοποιήσουν τα Windows κατά την εγκατάσταση, τα σύμβολα εντοπισμού σφαλμάτων (.PDB) για ανάλυση σφαλμάτων και μερικές φορές καταλόγους .CAT που θα χρησιμοποιήσει η Microsoft ως αναφορά για να ελέγξει τη δομή (αν και στη συνέχεια δημιουργεί τους δικούς της καταλόγους για την τελική διανομή).

Η δημιουργία του είναι απλή: όλα τα αρχεία που πρόκειται να υπογραφούν συγκεντρώνονται σε έναν μόνο κατάλογο, για παράδειγμα C:\Echo. Από ένα παράθυρο του εντολές Με δικαιώματα διαχειριστή, γίνεται αναζήτηση στη βοήθεια του MakeCab για να δείτε τις επιλογές της και προετοιμάζεται ένα αρχείο DDF με τις απαραίτητες οδηγίες που υποδεικνύουν ποια αρχεία θα συμπιεστούν, ποια αρχειοθήκη θα δημιουργηθεί και σε ποιους υποφακέλους θα πρέπει να οργανωθούν μέσα στο CAB.

Για το παράδειγμα του ελεγκτή Echo, το αρχείο DDF θα μπορούσε να ορίσει το όνομα εξόδου σε Echo.cab, να ενεργοποιήσει τη συμπίεση MSZIP και να ορίσει έναν κατάλογο προορισμού (DestinationDir=Echo) έτσι ώστε να μην υπάρχουν χαλαρά αρχεία στον ριζικό κατάλογο της cab. Στη συνέχεια, παρατίθενται οι πλήρεις διαδρομές προς τα Echo.inf και Echo.sys, ώστε να τα συμπεριλάβει το MakeCab.

Με το DDF έτοιμο, εκτελείτε κάτι σαν αυτό MakeCab /f Echo.ddfΤο εργαλείο θα δείξει πόσα αρχεία έχει συμπεριλάβει, το επίπεδο συμπίεσης που έχει επιτευχθεί και σε ποιον φάκελο (συνήθως Disk1) έχει τοποθετήσει το αρχείο CAB που προκύπτει. Απλώς ανοίξτε το αρχείο Echo.cab με την Εξερεύνηση Αρχείων για να επιβεβαιώσετε ότι περιέχει όλα τα αναμενόμενα.

Υπογράψτε το CAB με ένα πιστοποιητικό EV και στείλτε το στο Κέντρο Συνεργατών

Πριν από την αποστολή του πακέτου στην πύλη υλικού της Microsoft, είναι φυσιολογικό να υπογράψτε το CAB με πιστοποιητικό EV (Extended Validation)Αυτά τα πιστοποιητικά, τα οποία είναι πιο αυστηρά στην επικύρωση της οντότητας, παρέχουν πρόσθετη εμπιστοσύνη και συχνά αποτελούν απαίτηση για ορισμένους τύπους υπογραφών.

Η διαδικασία διαφέρει ελαφρώς ανάλογα με τον πάροχο πιστοποιητικού EV, αλλά η γενική ιδέα είναι να χρησιμοποιήσετε ξανά το SignTool, αυτή τη φορά στοχεύοντας το CAB. Μια τυπική εντολή μπορεί να είναι: SignTool sign /s MY /n “Όνομα εταιρείας” /fd sha256 /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp /td sha256 /v C:\Echo\Disk1\Echo.cab, το οποίο προσθέτει μια υπογραφή SHA-256 με χρονική σήμανση SHA-256 στο πιλοτήριο.

Μετά την υπογραφή, αποκτάτε πρόσβαση σε Κέντρο Συνεργατών της MicrosoftΣυγκεκριμένα, μεταβείτε στον πίνακα υλικού και συνδεθείτε με τα διαπιστευτήρια του οργανισμού σας. Από εκεί, επιλέξτε την επιλογή "Υποβολή νέου υλικού", ανεβάστε το υπογεγραμμένο αρχείο CAB και συμπληρώστε τις ιδιότητες υποβολής: όνομα προϊόντος, τύπο υπογραφής που απαιτείται, εάν θέλετε δοκιμαστική υπογραφή ή μόνο υπογραφή παραγωγής κ.λπ.

Είναι σημαντικό Μην ενεργοποιήσετε τις επιλογές δοκιμαστικής υπογραφής Αν ψάχνετε για ένα πρόγραμμα οδήγησης παραγωγής, στην ενότητα απαιτούμενες υπογραφές επιλέγετε τις παραλλαγές που θέλετε να συμπεριλάβετε στο πακέτο (για παράδειγμα, υπογραφές για διαφορετικές εκδόσεις των Windows ή αρχιτεκτονικές).

Μόλις συμπληρωθεί η φόρμα, κάντε κλικ στην επιλογή Υποβολή και αφήστε την πύλη να επεξεργαστεί το πακέτο. Όταν η Microsoft ολοκληρώσει την υπογραφή του προγράμματος οδήγησης, ο πίνακας θα υποδείξει ότι η υποβολή έχει υποβληθεί σε επεξεργασία και θα επιτρέψει Λήψη του ήδη υπογεγραμμένου προγράμματος οδήγησης, συνήθως συνοδεύεται από τους καταλόγους και τα μεταδεδομένα που είναι απαραίτητα για τη διανομή του.

Επαληθεύστε ότι ο ελεγκτής έχει υπογραφεί σωστά

Αφού ολοκληρωθεί η λήψη του πακέτου, ήρθε η ώρα να ελέγξετε ότι όλα είναι εντάξει. Το πρώτο βήμα είναι να εξαγάγετε τα αρχεία από την αποστολή σε έναν προσωρινό φάκελο και να ανοίξετε ένα παράθυρο γραμμής εντολών με δικαιώματα διαχειριστήΑπό εκεί, μπορείτε να χρησιμοποιήσετε το SignTool για να επαληθεύσετε τις υπογραφές που εφαρμόζονται στα δυαδικά αρχεία κλειδιών.

Μια βασική εντολή θα ήταν Επαλήθευση του Echo.sys από το SignToolτο οποίο επαληθεύει γρήγορα την εγκυρότητα της υπογραφής. Για πιο λεπτομερή επαλήθευση, μπορείτε να χρησιμοποιήσετε Επαλήθευση του SignTool /pa /ph /v /d Echo.sysόπου το /pa υποδεικνύει ότι πρέπει να χρησιμοποιηθεί η πολιτική Authenticode, το /ph προσθέτει έλεγχο κατακερματισμού και το /v δημιουργεί λεπτομερή έξοδο με όλες τις πληροφορίες της αλυσίδας πιστοποιητικών.

Για να ελέγξετε τις Βελτιωμένες Χρήσεις Κλειδιών (EKU) του πιστοποιητικού που χρησιμοποιείται για την υπογραφή, μπορείτε να χρησιμοποιήσετε την Εξερεύνηση των Windows: κάντε δεξί κλικ στο δυαδικό αρχείο, επιλέξτε Ιδιότητες, μεταβείτε στην καρτέλα "Ψηφιακές Υπογραφές", επιλέξτε την σχετική καταχώρηση και κάντε κλικ στην επιλογή "Λεπτομέρειες". Από την καρτέλα "Προβολή Πιστοποιητικού" και την καρτέλα "Λεπτομέρειες", μπορείτε να ελέγξετε το πεδίο "Βελτιωμένες Χρήσεις Κλειδιών" για να επιβεβαιώσετε ότι περιλαμβάνει τις κατάλληλες επεκτάσεις για υπογραφή κώδικα ή υπογραφή προγράμματος οδήγησης.

Η εσωτερική διαδικασία ορισμένων ροών εργασίας υπογραφής υποδηλώνει ότι η Microsoft επανεισαγάγετε τη δική σας υπογραφή SHA-2 Στο δυαδικό αρχείο, τυχόν υπογραφές που εφαρμόζονται από τον πελάτη καταργούνται εάν δεν συμμορφώνονται με τις τρέχουσες πολιτικές. Δημιουργείται επίσης ένα νέο αρχείο καταλόγου υπογεγραμμένο από τη Microsoft, το οποίο αντικαθιστά τυχόν προηγούμενα αρχεία .CAT που έχουν σταλεί από τον προμηθευτή.

Δοκιμή και εγκατάσταση του προγράμματος οδήγησης σε Windows

Μόλις υπογραφεί το πρόγραμμα οδήγησης, απομένει να επαληθευτεί ότι εγκαθίσταται και λειτουργεί σωστά στο σύστημα-στόχο. Από μια κονσόλα διαχειριστή, μπορούν να χρησιμοποιηθούν εργαλεία όπως το [εισαγάγετε ονόματα εργαλείων εδώ]. Ντέβον για να αυτοματοποιήσετε την εγκατάσταση. Για παράδειγμα, εάν το πακέτο περιέχει ένα αρχείο echo.inf που ορίζει μια συσκευή root\ECHO, θα ήταν αρκετό να εκτελεστεί devcon εγκατάσταση echo.inf root\ECHO στον κατάλληλο φάκελο.

Κατά τη διάρκεια αυτής της διαδικασίας, εάν όλα έχουν υπογραφεί σωστά, Δεν πρέπει να εμφανίζονται διαφημίσεις Ενδέχεται να εμφανιστούν μηνύματα όπως "Τα Windows δεν μπορούν να επαληθεύσουν τον εκδότη αυτού του λογισμικού προγράμματος οδήγησης". Εάν το κάνουν, υποδηλώνει ότι κάτι στην αλυσίδα εμπιστοσύνης ή στους καταλόγους δεν είναι ευθυγραμμισμένο και συνιστάται να ελέγξετε τόσο τις υπογραφές όσο και τα πιστοποιητικά ρίζας που είναι εγκατεστημένα στο σύστημα.

Σε πιο σύνθετα σενάρια, είναι δυνατό να δημιουργηθούν αποστολές με πολλαπλούς ελεγκτέςΓια να γίνει αυτό, η συνήθης προσέγγιση είναι να δημιουργήσετε ξεχωριστούς υποφακέλους μέσα στη δομή αρχείων, έναν για κάθε πακέτο προγράμματος οδήγησης (DriverPackage1, DriverPackage2, κ.λπ.), και να προσαρμόσετε το αρχείο DDF έτσι ώστε κάθε σύνολο αρχείων .SYS και .INF να τοποθετείται στον δικό του υποφάκελο μέσα στο CAB. Στη συνέχεια, το MakeCab συγκεντρώνει τα πάντα σε ένα ενιαίο ντουλάπι έτοιμο για υποβολή στην πύλη.

Υπογραφές οδηγού από την οπτική γωνία του χρήστη

Από την οπτική γωνία του τελικού χρήστη, η υπογραφή του οδηγού γίνεται αντιληπτή ως ενσωματωμένο φίλτρο ασφαλείας στα WindowsΌπως και με τις υπογεγραμμένες εφαρμογές, η ιδέα είναι ο χρήστης να γνωρίζει ότι το λογισμικό προέρχεται από νόμιμη πηγή και δεν έχει τροποποιηθεί. Ωστόσο, στην περίπτωση των προγραμμάτων οδήγησης, η απαίτηση είναι μεγαλύτερη επειδή λειτουργούν με πολύ υψηλό επίπεδο προνομίων.

Όταν ένας οδηγός υπογράφεται σωστά και δημοσιεύεται μέσω επίσημων καναλιών, Το windows Update Το ίδιο το λειτουργικό σύστημα το διανέμει με αρκετά διαφανή τρόπο. Αυτό διευκολύνει τους χρήστες να λαμβάνουν ενημερωμένες και διορθωμένες εκδόσεις χωρίς να χρειάζεται να αναζητούν τίποτα χειροκίνητα, με τη διαβεβαίωση ότι έχουν περάσει τα φίλτρα της Microsoft.

Το πρόβλημα προκύπτει όταν χρειάζεται να εγκαταστήσετε προγράμματα οδήγησης που δεν έχουν ψηφιακή υπογραφή ή των οποίων η υπογραφή δεν γίνεται πλέον αποδεκτή από τις τρέχουσες πολιτικές (για παράδειγμα, κατά την προσπάθεια χρήσης παλαιότερου υλικού σε νεότερα συστήματα). Σε αυτές τις περιπτώσεις, τα Windows αποκλείουν την εγκατάσταση ή εμφανίζουν επαναλαμβανόμενες προειδοποιήσεις, αναγκάζοντας τη χρήση πιο προηγμένων λύσεων να συνεχιστεί.

Μέθοδοι εγκατάστασης μη υπογεγραμμένων προγραμμάτων οδήγησης (και οι κίνδυνοι που σχετίζονται με αυτά)

Υπάρχουν διάφοροι τρόποι για να εγκαταστήσετε προγράμματα οδήγησης που δεν συμμορφώνονται με τις πολιτικές υπογραφής, αλλά είναι σημαντικό να έχετε κατά νου ότι Κάθε μέθοδος συνεπάγεται διαφορετικό επίπεδο κινδύνουΜια προσωρινή ρύθμιση που επαναφέρεται κατά την επανεκκίνηση δεν είναι το ίδιο με την πλήρη απενεργοποίηση των ελέγχων ακεραιότητας.

Μια μέθοδος που χρησιμοποιείται συνήθως είναι Εκκίνηση των Windows απενεργοποιώντας προσωρινά την υποχρεωτική χρήση υπογεγραμμένων προγραμμάτων οδήγησηςΓια να το κάνετε αυτό, επανεκκινήστε τον υπολογιστή σας αποκτώντας πρόσβαση στις επιλογές για προχωρημένους (για παράδειγμα, από το μενού Έναρξη, πατώντας Shift ενώ κάνετε κλικ στην επιλογή Επανεκκίνηση), μεταβείτε στην Αντιμετώπιση προβλημάτων > Επιλογές για προχωρημένους > Ρυθμίσεις εκκίνησης και επιλέξτε την επιλογή "Απενεργοποίηση επιβολής υπογραφής προγράμματος οδήγησης". Το σύστημα θα εκκινηθεί στη συνέχεια χωρίς να απαιτούνται υπογραφές, επιτρέποντάς σας να εγκαταστήσετε το πρόγραμμα οδήγησης. Μετά την επανεκκίνηση, η προστασία θα εφαρμοστεί ξανά αυτόματα.

Μια άλλη επιλογή, διαθέσιμη μόνο σε Windows 10/11 Pro και νεότερες εκδόσειςΓια να το κάνετε αυτό, χρησιμοποιήστε τον Επεξεργαστή πολιτικής ομάδας (gpedit.msc). Στη Διαμόρφωση χρήστη > Πρότυπα διαχείρισης > Σύστημα > Εγκατάσταση προγράμματος οδήγησης, μπορείτε να επεξεργαστείτε την πολιτική "Υπογραφή κώδικα για προγράμματα οδήγησης συσκευών" και να την ορίσετε σε Απενεργοποιημένη. Μετά την επανεκκίνηση, τα Windows θα είναι πολύ πιο επιεικής με μη υπογεγραμμένα προγράμματα οδήγησης ή προγράμματα οδήγησης με αμφισβητήσιμες υπογραφές.

Για σενάρια δοκιμών και ανάπτυξης υπάρχει το λεγόμενο Λειτουργία δοκιμής Η λειτουργία δοκιμής των Windows ενεργοποιείται από μια κονσόλα διαχειριστή εκτελώντας την εντολή bcdedit και επιτρέπει τη φόρτωση προγραμμάτων οδήγησης που έχουν υπογραφεί με πιστοποιητικά δοκιμής χωρίς να χρειάζεται να τα περάσετε από τη δημόσια υποδομή. Σε αυτήν τη λειτουργία, συνήθως εμφανίζεται ένα υδατογράφημα στην επιφάνεια εργασίας που υποδεικνύει ότι το σύστημα βρίσκεται σε λειτουργία δοκιμής.

Τέλος, υπάρχει η πιο ακραία επιλογή: Απενεργοποιήστε πλήρως τον έλεγχο ακεραιότητας του προγράμματος οδήγησης χρησιμοποιώντας το bcdedit.exe (παράμετρος nointegritychecks). Αυτό αφήνει το σύστημα εντελώς ευάλωτο στην εγκατάσταση οποιουδήποτε προγράμματος οδήγησης, νόμιμου ή μη, και θα πρέπει να χρησιμοποιείται μόνο σε πολύ συγκεκριμένες περιπτώσεις και με πλήρη γνώση του τι γίνεται.

Πραγματικοί κίνδυνοι από την απενεργοποίηση της σήμανσης οδηγού

Η απενεργοποίηση αυτής της προστασίας δεν αποτελεί απλώς μια μικρή ταλαιπωρία, αλλά ανοίγει την πόρτα σε Μία από τις πιο δύσκολες απειλές στην ανίχνευση: rootkits σε επίπεδο προγράμματος οδήγησηςΑυτά εγκαθίστανται σαν να ήταν νόμιμα προγράμματα οδήγησης, αλλά μόλις φορτωθούν έχουν δικαιώματα SYSTEM και τη δυνατότητα παρακολούθησης ή χειρισμού του συστήματος σε πολύ χαμηλό επίπεδο.

Ένα rootkit αυτού του τύπου μπορεί να υποκλέψει την κίνηση στο διαδίκτυο, να εισαγάγει πλαστά πιστοποιητικά, να ανακατευθύνει συνδέσεις σε ιστότοπους που ελέγχονται από εισβολείς, να μπλοκάρει την εγκατάσταση ιών και να διευκολύνει την είσοδο άλλου κακόβουλου λογισμικού. Όλα αυτά μπορούν να γίνουν σχεδόν χωρίς ορατό ίχνος για τον χρήστη, ακόμη και για πολλές παραδοσιακές λύσεις ασφαλείας.

Λειτουργώντας με τα υψηλότερα δικαιώματα, αυτοί οι κακόβουλοι οδηγοί είναι πρακτικά αόρατο και δύσκολο να εξαλειφθείΣε πολλές περιπτώσεις, η μόνη ρεαλιστική λύση είναι η μορφή ολόκληρο τον υπολογιστή και να ξεκινήσετε από την αρχή, κάτι που αντιπροσωπεύει σημαντική απώλεια χρόνου και δεδομένων εάν δεν υπάρχουν ενημερωμένα αντίγραφα ασφαλείας.

Επομένως, όταν μια εφαρμογή σας ζητά να απενεργοποιήσετε την επιβολή υπογραφής προγράμματος οδήγησης για να εγκαταστήσετε "κάτι μαγικό", είναι συνετό να είστε καχύποπτοι. Όποτε είναι δυνατόν, είναι προτιμότερο να... αναζητήστε εναλλακτικές λύσεις ή υπογεγραμμένες εκδόσειςακόμα κι αν αυτό σημαίνει την εγκατάλειψη συγκεκριμένου απαρχαιωμένου υλικού ή κάποιας συγκεκριμένης λειτουργικότητας.

Προγράμματα οδήγησης των Windows έναντι προγραμμάτων οδήγησης κατασκευαστών

Κατά την εγκατάσταση περιφερειακών και εξαρτημάτων, τα Windows συνήθως προσφέρουν γενικά προγράμματα οδήγησης Αυτά σας επιτρέπουν να χρησιμοποιείτε το υλικό με βασικό τρόπο. Για παράδειγμα, ένας πολυλειτουργικός εκτυπωτής μπορεί να εκτυπώσει χωρίς προβλήματα χρησιμοποιώντας το γενικό πρόγραμμα οδήγησης, αλλά αν θέλετε να σαρώσετε, να χρησιμοποιήσετε τον αυτόματο τροφοδότη εγγράφων ή να αποκτήσετε πρόσβαση σε επιλογές για προχωρημένους, σχεδόν σίγουρα θα χρειαστείτε το επίσημο πακέτο προγραμμάτων οδήγησης του κατασκευαστή.

Το ίδιο ισχύει και για τις κάρτες ήχου, τις κάρτες γραφικών και άλλες σύνθετες συσκευές: με τα γενικά προγράμματα οδήγησης, ο υπολογιστής θα λειτουργεί, αλλά θα χάσετε δυνατότητες, βελτιστοποιήσεις απόδοσης ή προηγμένα εργαλεία διαμόρφωσης. Σε πολλές περιπτώσεις, τα επίσημα προγράμματα οδήγησης προσφέρουν επίσης αυτές τις δυνατότητες. συγκεκριμένες διορθώσεις σφαλμάτων που δεν φτάνουν ποτέ στους γενικούς οδηγούς της Microsoft.

Το κατάλληλο μέρος για να κατεβάσετε αυτούς τους οδηγούς είναι πάντα το επίσημη ιστοσελίδα του κατασκευαστή υλικούΌταν κάνετε αναζήτηση στην Google, συχνά θα δείτε πρώτα σελίδες τρίτων μερών γεμάτες με ύποπτα "προγράμματα λήψης ή εγκατάστασης προγραμμάτων οδήγησης". Εάν ο σύνδεσμος δεν προέρχεται από τον τομέα του κατασκευαστή, είναι καλύτερο να τον αγνοήσετε.

Εάν η υπογραφή προγραμμάτων οδήγησης παραμείνει ενεργοποιημένη, πολλά από αυτά τα αμφίβολα πακέτα θα αποκλειστούν από τα Windows μόλις εντοπιστεί ότι πρόκειται για μη έγκυρο λογισμικό ή ότι οι υπογραφές δεν είναι σωστές. Αυτό λειτουργεί ως ένα επιπλέον επίπεδο ασφάλειας έναντι αδέξι ή εντελώς κακόβουλων εγκαταστατών.

Πρακτική περίπτωση: Σφάλμα υπογραφής πιστοποιητικού με προγράμματα οδήγησης GPU στα Windows 7

Σε υπολογιστές με παλαιότερα συστήματα, όπως π.χ. Windows 7 64-bitΕίναι σχετικά συνηθισμένο να αντιμετωπίζετε προβλήματα κατά την εγκατάσταση σύγχρονων προγραμμάτων οδήγησης για κάρτες γραφικών ή άλλο πρόσφατο υλικό. Ένα τυπικό παράδειγμα είναι το σφάλμα "Τα πιστοποιητικά υπογραφής δεν είναι εγκατεστημένα. Παρακαλώ εγκαταστήστε τα απαιτούμενα πιστοποιητικά" κατά την προσπάθεια εγκατάστασης προγραμμάτων οδήγησης για Nvidia για GPU όπως η GTX 1060 ή η GTX 950.

Σε πολλές περιπτώσεις, ακόμη και αν ο χρήστης απενεργοποιήσει την υπογραφή προγραμμάτων οδήγησης κατά την εκκίνηση, το πρόγραμμα οδήγησης δεν λειτουργεί μετά την επανεκκίνηση επειδή η πολιτική υπογραφής ενεργοποιείται ξανά. Λύσεις όπως η εγκατάσταση όλων των προηγούμενων εκδόσεων του προγράμματος οδήγησης, η χρήση εναλλακτικών προγραμμάτων εγκατάστασης (όπως το Snappy Driver Installer), η εφαρμογή ενημερώσεων υποστήριξης SHA-2 (όπως το KB3033929) ή η επανεγκατάσταση από τη Διαχείριση Συσκευών έχουν δοκιμαστεί χωρίς επιτυχία.

Μια πρακτική λύση που έχει λειτουργήσει είναι η χειροκίνητη εξαγωγή των περιεχομένων της έκδοσης του προγράμματος εγκατάστασης. 474.11 (το πιο πρόσφατο πρόγραμμα οδήγησης WHQL για Windows 7) σε έναν φάκελο και, από τη Διαχείριση Συσκευών, ενημερώστε το πρόγραμμα οδήγησης GPU επιλέγοντας την επιλογή αναζήτησης του προγράμματος οδήγησης στον υπολογιστή και καθορίζοντας αυτόν τον φάκελο. Η ίδια μέθοδος ενδέχεται να αποτύχει με νεότερες εκδόσεις, όπως η 474.14, εάν ο οδηγός δεν αναγνωρίσει τα αρχεία INF ως έγκυρα για αυτό το σύστημα.

Αυτού του είδους η περίπτωση καταδεικνύει πόσο λεπτή είναι η ισορροπία μεταξύ... πρόσφατους οδηγούς, πιστοποιητικά SHA-2 και OS δεν υποστηρίζεται πλέονΓίνεται ολοένα και πιο δύσκολο να εγκαταστήσετε —και να διατηρήσετε ασφαλή— σύγχρονα προγράμματα οδήγησης σε παλαιότερες πλατφόρμες που δεν λαμβάνουν ενημερώσεις ή ενημερώσεις ασφαλείας.

Πώς να εντοπίσετε και να διορθώσετε προβλήματα με ελαττωματικά προγράμματα οδήγησης

Ακόμα κι αν οι οδηγοί έχουν την κατάλληλη υπογραφή, ενδέχεται να καταστραφώ ή να γίνω ασυνεπής Αυτό μπορεί να συμβεί για πολλούς λόγους: διενέξεις με άλλα προγράμματα, κακόβουλο λογισμικό, διακοπές εγκατάστασης, ενημερώσεις των Windows που δεν ολοκληρώνονται με επιτυχία κ.λπ. Όταν συμβαίνει αυτό, η συσκευή που επηρεάζεται συνήθως σταματά να λειτουργεί ή λειτουργεί ακανόνιστα.

Το πρώτο διαγνωστικό εργαλείο είναι το Διαχείριση συσκευώνΚάνοντας δεξί κλικ στο κουμπί Έναρξη και επιλέγοντας την αντίστοιχη επιλογή, ανοίγει μια πλήρης λίστα με όλο το υλικό που εντοπίστηκε. Εάν μια συσκευή παρουσιάζει προβλήματα με τα προγράμματα οδήγησης, θα επισημανθεί με ένα κίτρινο εικονίδιο προειδοποίησης.

Σε αυτές τις περιπτώσεις, μια πρώτη προσπάθεια για μια λύση είναι να κάνετε δεξί κλικ στη συσκευή, να επιλέξετε "Ενημέρωση προγράμματος οδήγησης" και να αφήσετε τα Windows να αναζητήσουν ένα πιο κατάλληλο πρόγραμμα οδήγησης, είτε τοπικά είτε μέσω του Windows Update. Εάν αυτό δεν λειτουργήσει, μπορείτε να απεγκαταστήσετε τη συσκευή (διατηρώντας το λογισμικό του προγράμματος οδήγησης ή όχι) και να κάνετε επανεκκίνηση, ώστε τα Windows να προσπαθήσουν να την επανεγκαταστήσουν από την αρχή.

Επιπλέον, τα Windows περιλαμβάνουν ένα εργαλείο αντιμετώπισης προβλημάτων υλικού και συσκευών Μέσα στον πίνακα Ρυθμίσεις, συγκεκριμένα στην ενότητα "Ενημέρωση & Ασφάλεια" > "Αντιμετώπιση προβλημάτων", αυτός ο οδηγός σαρώνει το σύστημα για ανωμαλίες και προτείνει αυτοματοποιημένες ενέργειες για την επαναφορά της λειτουργικότητας ορισμένων προγραμμάτων οδήγησης.

Εάν μια συγκεκριμένη ενημέρωση προγράμματος οδήγησης έχει προκαλέσει το πρόβλημα, ίσως είναι χρήσιμο να χρησιμοποιήσετε την επιλογή «Επιστροφή στον προηγούμενο ελεγκτή» Στην καρτέλα "Πρόγραμμα οδήγησης" των ιδιοτήτων της συσκευής, εφόσον τα Windows διατηρούν την προηγούμενη έκδοση. Αυτό επαναφέρει την προβληματική εγκατάσταση και ενδέχεται να αποκαταστήσει τη σταθερότητα του συστήματος.

Προβολή και ανάλυση προγραμμάτων οδήγησης τρίτων κατασκευαστών που είναι εγκατεστημένα στα Windows

Για να έχετε μεγαλύτερο έλεγχο σε ό,τι είναι εγκατεστημένο στο σύστημα, εργαλεία τρίτων κατασκευαστών, όπως π.χ. Πρόγραμμα οδήγησης Το εργαλείο του Nirsoft εμφανίζει μια λεπτομερή λίστα με όλα τα προγράμματα οδήγησης που είναι εγκατεστημένα στον υπολογιστή σας. Είναι ένα δωρεάν, φορητό βοηθητικό πρόγραμμα που απλοποιεί σημαντικά τον έλεγχο των προγραμμάτων οδήγησης.

Το DriverView χρησιμοποιεί έναν πολύ απλό χρωματικό κώδικα: Τα προγράμματα οδήγησης της Microsoft με έγκυρη ψηφιακή υπογραφή εμφανίζονται με λευκό φόντο.Τα προγράμματα οδήγησης τρίτων κατασκευαστών (από κατασκευαστές ή πρόσθετο λογισμικό) επισημαίνονται με κόκκινο χρώμα. Αυτό βοηθά στον γρήγορο εντοπισμό των κομματιών του παζλ που δεν εξαρτώνται άμεσα από το λειτουργικό σύστημα.

Η λίστα μπορεί να ταξινομηθεί κατά στήλες, για παράδειγμα κατά "Εταιρεία" για να ομαδοποιηθούν όλα τα προγράμματα οδήγησης από την ίδια εταιρεία. Επιπλέον, το μενού Προβολή συνήθως περιλαμβάνει μια επιλογή για απόκρυψη όλων των προγραμμάτων οδήγησης της Microsoft και εμφάνιση μόνο προγραμμάτων οδήγησης τρίτων κατασκευαστών, επιτρέποντάς σας να εστιάσετε σε αυτά που είναι πιο πιθανό να προκαλέσουν διενέξεις.

Κάνοντας διπλό κλικ σε οποιαδήποτε καταχώρηση ανοίγει ένα παράθυρο με λεπτομερείς πληροφορίες για τον οδηγόΈκδοση, πλήρης διαδρομή, περιγραφή, κατασκευαστής, ημερομηνία μεταφόρτωσης κ.λπ. Σε περίπτωση άγνωστων ή ύποπτων προγραμμάτων οδήγησης, αυτά τα δεδομένα βοηθούν να προσδιοριστεί εάν αποτελούν μέρος ενός προγράμματος που χρησιμοποιούμε πραγματικά ή εάν είναι σκόπιμο να διερευνηθούν περαιτέρω ή ακόμη και να απεγκατασταθούν.

Δεδομένης αυτής της συνολικής εικόνας, είναι σαφές ότι η υπογραφές και πιστοποιητικά προγραμμάτων οδήγησης στα Windows Δεν αποτελούν απλή τυπικότητα, αλλά ένα θεμελιώδες στοιχείο για τη διατήρηση της σταθερότητας και της ασφάλειας του συστήματος. Η κατανόηση του τρόπου υπογραφής των προγραμμάτων οδήγησης, των απαιτήσεων που αλλάζουν μεταξύ των εκδόσεων των Windows, των εργαλείων που υπάρχουν για την επικύρωση και του τρόπου δράσης όταν ένα πρόγραμμα οδήγησης δεν είναι υπογεγραμμένο ή αποτυγχάνει, μας επιτρέπει να αξιοποιούμε στο έπακρο το υλικό μας, παραμένοντας παράλληλα σε εγρήγορση έναντι απειλών πολύ χαμηλού επιπέδου.