Draiveri sertifikaadid ja allkirjad Windowsis: täielik juhend

Windowsis on vastutavad töötlejad ja nende digitaalallkirjad Neist on saanud süsteemi turvalisuse põhikomponent. Lisaks printeri, graafikakaardi või kiipkaardi toimimise lubamisele on tänapäeval oluline, et süsteem suudaks kontrollida tarkvara ehtsust, terviklikkust ja päritolu usaldusväärselt müüjalt.

Kui olete kunagi kohanud selliseid sõnumeid nagu „Windows ei saa selle draiveritarkvara väljaandjat kontrollida” Või draiveri installimisel tekkivad sertifikaatidega seotud vead – teate ju, kui masendav see olla võib. Selles artiklis selgitame rahulikult, kuidas draiverite allkirjastamine Windowsis toimib (nii kerneli kui ka kasutajarežiimis), millised nõuded Windowsi versioonist olenevalt muutuvad, kuidas ise draivereid allkirjastada ja millised on võimalused allkirja kontrollimise ohutuks keelamiseks, kui teil pole muud valikut.

Mis on draiveri allkirjastamine Windowsis ja miks see nii oluline on?

Kõne juhi allkiri See hõlmab lihtsalt digitaalallkirja (sertifikaatide põhjal) seostamist draiveripaketiga. See allkiri rakendatakse tavaliselt paketi kataloogifailile (.CAT) või otse draiveri binaarfailidele (.SYS, .DLL jne), kasutades manustatud allkirjatehnikaid.

Seadme installimise ajal kasutab Windows neid digitaalallkirjad kahe peamise asja jaoksSüsteem kontrollib, et paketti pole pärast allkirjastamist muudetud (terviklikkus) ja kinnitab tarkvaratootja (draiveri avaldaja) identiteeti. Kui midagi on valesti, kuvatakse hoiatus või rangematel juhtudel draiveri installimine või laadimine blokeeritakse.

Windows Vista 64-bitistes versioonides ja hilisemates versioonides kehtestas Microsoft üsna selge poliitika: Kõik kernel-režiimi draiverid peavad olema allkirjastatud laadimiseks, väga väheste eranditega. See asetab draiverid samasse turvakategooriasse kui ülejäänud süsteemi binaarfailid, sest kerneli tasemel tõrge võib süsteemi täielikult ohtu seada.

Reeglid on muutunud rangemaks, kuna aegAlates Windows 10 versioonist 1507 on kõik draiverid allkirjastatud selle kaudu Arenduskeskus riistvara Microsoft Nende allkirjastamine SHA-2 abil on kohustuslik. Vana SHA-1 aegus krüptograafilise turvalisuse tõttu ja Microsoft on seda järk-järgult kogu ökosüsteemist eemaldanud.

Oluline detail on see, et kernel-režiimi draiveri binaarfailidel, mis on allkirjastatud kahekordsete sertifikaatidega (SHA-1 + SHA-2), mille on väljastanud mitte-Microsofti üksused, võib esineda probleeme. Windows 10-st varasemad süsteemid...või isegi põhjustada Windows 10 ja uuemate versioonide krahhe. Selle vältimiseks avaldas Microsoft värskenduse KB3081436, mis sisaldab õigeid failiräsi ja parandab laadimiskäitumist nendel juhtudel.

Draiverite allkirjastamise ülevaade Windowsis

Selle toimimise täielikuks mõistmiseks on kasulik mõisted eraldada. Ühelt poolt on olemas juhi koodi allkiri (tuuma režiim või kasutajarežiim) ja teiselt poolt Plug and Play (PnP) seadme installimise allkirjastamisnõuded. Kuigi need käivad käsikäes, ei ole nad täpselt samad: teil võib olla draiver, mis on binaartasemel õigesti allkirjastatud, kuid mis ei vasta mõnele täiendavale installimisnõudele.

Microsoftil on selle kohta spetsiifiline dokumentatsioon Windows Vista ja uuemate süsteemide kerneli moodulite digitaalallkirjadSee dokument kirjeldab üksikasjalikult, millised sertifikaadid kehtivad, kuidas usaldusahelaid tuleks luua ja milliseid räsialgoritme toetatakse (praegu SHA-2). Draiverite puhul, mis edastavad kaitstud sisu (DRM-i, PUMA, PAP, PVP-OPM jne abil heli ja video), kehtivad ka spetsiaalsed koodiallkirjastamise nõuded, mis keskenduvad multimeediasisu kaitsmisele.

Avaldamisvoogude osas on tänapäeval mitu võimalust Draiverite esitamine Microsofti riistvaraportaaliTootmisdraiverite puhul on standardmeetodiks testide käivitamine HLK või vanema HCK abil ning nii binaarfailide kui ka testilogide üleslaadimine. Windows 10-s ainult kliendipõhiste stsenaariumide korral saab kasutada atesteerimisallkirjastamist, mis vähendab automatiseeritud testimise vajadust, säilitades samal ajal Microsofti valideerimise ja allkirjastamise.

Võimalus testallkiri Mõeldud sisemiseks arenduseks ja testimiseks, kus kasutatakse mitteavalikke või privaatse PKI väljastatud sertifikaate. Need draiverid laaditakse ainult siis, kui süsteem on konfigureeritud testimisrežiimis või kui on olemas konkreetsed poliitikad, mis lubavad testidraivereid.

Erandid ja ristmärgistatud kontrollerid

Windows 10 vahepealsetes versioonides kasutatakse nn. „Ristallkirjaga kontrollerid” Ristallkirjastatud draiverid on teatud tingimustel endiselt lubatud. Need on draiverid, mille on müüja allkirjastanud Authenticode'i sertifikaadiga, mis on aheldatud Microsofti allkirjastatud vahesertifikaadiga, möödudes riistvaraportaali täielikust töövoost.

Microsoft säilitab mitu erandit, et vältida juba juurutatud süsteemide käivitumise ebaõnnestumist. Ristallkirjastatud draiverid on lubatud järgmistel juhtudel: Arvuti uuendati Windowsi varasemast versioonist Windows 10 versioonile 1607; saabas Turvaline alglaadimine on BIOS-is/UEFI-s keelatud või on draiver allkirjastatud sertifikaadiga, mis on välja antud enne 29. juulit 2015 ja mis on aheldatud toetatud ristallkirjastatud sertimiskeskusega.

Süsteemi kasutuskõlbmatuks muutumise ohu vähendamiseks käivituskontrollerid Neid ei blokeerita isegi siis, kui need ei vasta uutele eeskirjadele, kuid programmide ühilduvuse abimees saab need märgistada ja soovitada nende eemaldamist või asendamist. Idee on vältida käivitusjärjestuse häirimist, kuid mittevastavad draiverid eemaldatakse järk-järgult.

Windowsi versiooni allkirjastamise nõuded

Allkirjanõuded varieeruvad olenevalt operatsioonisüsteemi konkreetne versioon ja kas süsteem kasutab turvalist käivitust. Üldiselt saab kliendiversioonide allkirjastamispoliitika tabeli kokku võtta järgmiselt:

• Windows Vista ja Windows 7ja ka Windows 8+, mille turvaline alglaadimine on keelatud64-bitiste sertifikaatide puhul on allkiri nõutav, 32-bitiste sertifikaatide puhul aga mitte. Allkirja saab manustada faili või seotud kataloogi ning nõutav algoritm on SHA-2. Koodi terviklikkuse tagamiseks peab sertifikaatide ahel lõppema standardsete usaldusväärsete juurtega.
• Windows 8 ja 8.1 ning Windows 10 versioonid 1507 ja 1511, millel on lubatud turvaline alglaadimineNii 32- kui ka 64-bitised draiverid vajavad allkirjastatud draivereid. Sisseehitatud või kataloogiallkirjastamine on endiselt lubatud, kasutades SHA-2 ja tuginedes koodi terviklikkuse tagamiseks standardsetele juurkoodidele.
• Windows 10 versioonid 1607, 1703 ja 1709 turvalise käivitusegaNõuet on karmistatud ja allkirjad peavad olema ankurdatud konkreetsete Microsofti juursertifikaatidega (Microsoft Juur Authority 2010, Microsoft Root Certificate Authority ja Microsoft Root Authority).
• Windows 10 versioon 1803 ja uuemad koos turvalise käivitusega: nii 32- kui ka 64-bitiste süsteemide puhul säilivad samad allkirjanõuded, mis on seotud eelpool mainitud Microsofti juurõigustega.

Lisaks juhikoodi allkirjale peab pakett vastama ka järgmistele nõuetele: PnP-seadmete installimise allkirjanõudedSee tähendab, et .INF-failid, kataloogid ja binaarfailid peavad olema õigesti lingitud ja kajastuma seadme installija allkirjas (ja Seadmehaldur) peavad neid kehtivaks.

Samuti on olemas spetsiaalsed draiverid, näiteks ELAM (varajase käivitamise pahavaratõrje)mis laaditakse alglaadimisprotsessi väga varakult, et kaitsta süsteemi malware madal tase. Nendel draiveritel on täiendavad allkirjastamis- ja sertifitseerimisnõuded, mis on kirjeldatud varajase käivitamise pahavaratõrje juhendis.

Draiveri allkirjastamine Windows 10, Windows 8.x ja Windows 7 jaoks

Kui olete draiverite arendaja või töötate keskkonnas, kus levitatakse kohandatud draivereid, peate järgima Windowsi riistvara ühilduvusprogramm (WHCP) kasutades iga versiooni jaoks sobivaid tööriistu: HLK Windows 10 jaoks ja HCK varasemate versioonide jaoks.

Windows 10 puhul oleks tüüpiline töövoog järgmine: laadige alla Riistvaralabori komplekt (HLK) Iga Windows 10 versiooni jaoks, mida soovite toetada, installige testimiskeskkond ja käivitage selle versiooniga kliendil täielik sertifitseerimisläbimine. Iga käivitamine loob testilogi.

Kui olete draiverit mitmes versioonis testinud, on teil mitu logi. See on tüüpiline. ühenda kõik logisid ühes aruandes, kasutades HLK uusimat versiooni. See kombinatsioon lihtsustab riistvaraportaali esitamist ja võimaldab ühel ettevõttel hõlmata mitut süsteemiversiooni.

Kui registrid on olemas, saadate kontrolleri binaarfaili ja kombineeritud HLK tulemused aadressile Windowsi riistvara arenduskeskuse paneelSeal valite soovitud allkirja tüübi (näiteks tootmis-, atesteerimis- jne), konfigureerite saadetise omadused ja ootate, kuni Microsofti automaatne protsess genereerib allkirjastatud kataloogid ja tagastab teile juba sertifitseeritud paki.

Sarnast lähenemisviisi järgitakse Windows 7, Windows 8 ja Windows 8.1 puhul, kuid kasutades Riistvara sertifitseerimiskomplekt (HCK) iga versiooni jaoks sobiv. Microsoft haldab selle komplekti jaoks kasutusjuhendit, mis selgitab testimise, valideerimise ja edastamise töövoogu.

Draiveri allkirjastamine versioonidele, mis on varasemad kui Windows 10 versioon 1607

Enne Windows 10 versiooni 1607 tulekut vajasid paljud draiverid Autentne sertifikaat koos Microsofti ristsertifitseerimisega. See tehnika, mida tuntakse ristallkirjastamisena, võimaldas tootjatel oma draivereid allkirjastada ja lasta Windowsil neid aktsepteerida nii, nagu oleksid Microsofti infrastruktuuri poolt "õnnistatud".

Seda allkirjamudelit vajavate kontrollerite hulgas olid kernel-režiimi seadme draiveridNende hulka kuuluvad kasutajarežiimi draiverid, mis suhtlevad tihedalt kerneliga, ja draiverid, mida kasutatakse kaitstud sisu (DRM-kaitstud heli ja video) esitamiseks või töötlemiseks. Viimaste hulka kuuluvad PUMA- või PAP-põhised helidraiverid, samuti videodraiverid, mis haldavad väljundkaitset (PVP-OPM).

Kaitstud multimeediakomponentide koodiallkirjastamisel on oma juhised, kuna usaldusahel ja sertifikaadi laiendused peavad tagama, et kaitstud sisu ei ole lihtne pealt kuulata ega manipuleerida.

SignTooli praktiline kasutamine draiverite allkirjastamiseks kerneli režiimis (Windows 7 ja 8)

Praktikas on Windowsi binaarfailide allkirjastamise juhtiv tööriist SignTool, mis on kaasatud Windows SDK-sse. Windows 7 ja 8 kernel-režiimi draiverite puhul on mitmeid valikuid, mis on eriti kasulikud allkirjastamisel ja kontrollimisel.

SignTooli kõige olulisemate parameetrite hulka kuuluvad: /ac täiendava sertifikaadi (näiteks Microsofti ristsertifikaadi) lisamiseks/f allkirjastamissertifikaati sisaldava faili (näiteks .pfx) tähistamiseks, /p selle PFX-i parooli tähistamiseks ja /fd räsialgoritmi määramiseks (näiteks /fd sha256 SHA-256 sundimiseks, kuna SHA-1 on ajalooline vaikeväärtus).

Parameeter on samuti fundamentaalne /n «Sertifikaadi üldnimetus»See võimaldab teil valida Windowsi sertifikaadisalvest õige sertifikaadi selle üldnime abil. Ajatemplite lisamiseks võite kasutada /t klassikalise Authenticode'i serveriga või /tr RFC 3161-ga ühilduva serveriga, mis on kõige kaasaegsem ja soovitatavam valik.

Üks võimalik töövoog oleks draiveri binaarfailide kogumine töökausta või isegi kõige kopeerimine Windows SDK bin-kausta. Seejärel hangitakse koodiallkirjastamise sertifikaat ja vajadusel Microsofti ristsertifitseerimine (näiteks CrossCert, mis vastab teie sertifikaadi väljastanud sertifitseerimisasutusele). Mõlemad asuvad samas kataloogis, kust käivitate SignTooli.

Kui kõik on valmis, võiks näidiskäsk välja näha umbes selline: signtool sign /ac CrossCert.crt /f CodeSign.pfx /p password1234 /fd sha256 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sysSee genereerib SHA-256 abil moodsa allkirja, sisaldab ristsertifitseerimist ja lisab RFC 3161 ajatempli, mis on oluline allkirja kehtivuse säilitamiseks ka pärast sertifikaadi kehtivuse lõppemist.

Pärast allkirjastamist on soovitatav see käsuga kinnitada, näiteks signtool verify -v -kp filter.sysLipp -v kuvab üksikasjalikku teavet, samas kui -kp kontrollib allkirja kerneli režiimi draiveri kriteeriumide alusel. Kui väljund näitab, et allkiri on kehtiv ja usaldusahel lõpeb aktsepteeritud juurega, on draiver juurutamiseks valmis.

Oluline on meeles pidada, et paljudel juhtudel on ka kataloogifail (.CAT) allkirjastatud. Protsessi korratakse: .CAT-fail allkirjastatakse, kontrollitakse ja kui kõik on korras, installitakse draiver süsteemi tavapäraselt.

Allkiri CAB-pakettide atesteerimiseks ja loomiseks

Microsoft pakub allkiri kinnitusena suhteliselt kerge viisina draiverite levitamiseks, eriti Windows 10 kliendisüsteemides. Tootja vastutab draiveri nõuetele vastavuse eest ning Microsoft piirdub valideerimise ja allkirjastamisega, vältides mõnel juhul HLK-testide täielikku arhiivi.

Kontrolleri saatmiseks atesteerimise teel a CAB-fail mis koondab paketi olulised komponendid. Tüüpiline CAB sisaldab binaaridraiverit ennast (.SYS), INF-faili (.INF), mida Windows installimise ajal kasutab, silumissümboleid (.PDB) veaanalüüsiks ja mõnikord ka .CAT-katalooge, mida Microsoft kasutab struktuuri kontrollimiseks viitena (kuigi seejärel genereerib ta lõpliku levitamise jaoks oma kataloogid).

Selle loomine on lihtne: kõik allkirjastatavad failid koondatakse ühte kausta, näiteks C:\Echo. Aknast käsud Administraatoriõigustega vaadatakse MakeCabi abifaili valikuid ja koostatakse DDF-fail koos vajalike direktiividega, mis näitavad, millised failid tihendatakse, milline kabinetfail genereeritakse ja millistesse alamkaustadesse need CAB-failis paigutatakse.

Echo kontrolleri näites võiks DDF-fail määrata väljundnimeks Echo.cab, lubada MSZIP-tihenduse ja määratleda sihtkausta (DestinationDir=Echo), et cab-faili juurkaustas poleks lahtisi faile. Seejärel loetletakse Echo.inf ja Echo.sys failide täielikud teed, et MakeCab need lisaks.

Kui DDF on valmis, käivitate midagi sellist: MakeCab /f Echo.ddfTööriist näitab, mitu faili see on lisanud, saavutatud tihendustaseme ja millisesse kausta (tavaliselt Disk1) see tulemuseks oleva CAB-faili paigutas. Lihtsalt avage Echo.cab-fail File Exploreris, et veenduda, kas see sisaldab kõike oodatud.

Allkirjastage CAB EV-sertifikaadiga ja saatke see partnerite keskusesse.

Enne paketi üleslaadimist Microsofti riistvaraportaali on normaalne allkirjastama CAB-i EV (laiendatud valideerimise) sertifikaadigaNeed sertifikaadid, mis on üksuse valideerimisel rangemad, pakuvad lisakindlust ja on teatud tüüpi allkirjade puhul sageli nõutavad.

Protsess varieerub veidi olenevalt EV-sertifikaadi pakkujast, kuid üldine idee on kasutada uuesti SignTooli, seekord sihtides CAB-i. Tüüpiline käsk võiks olla: SignTool sign /s MY /n “Ettevõtte nimi” /fd sha256 /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp /td sha256 /v C:\Echo\Disk1\Echo.cab, mis lisab kokpitti SHA-256 allkirja koos SHA-256 ajatempliga.

Pärast allkirjastamist saate juurdepääsu Microsofti partnerikeskusTäpsemalt minge riistvarapaneelile ja logige sisse oma organisatsiooni sisselogimisandmetega. Sealt valige suvand „Esita uus riistvara”, laadige üles allkirjastatud CAB-fail ja täitke esitamise atribuudid: toote nimi, vajaliku allkirja tüüp, kas soovite testallkirja või ainult tootmisallkirja jne.

On oluline Ära aktiveeri testsignatuuri valikuid Kui otsite tootmisdraiverit, saate vajalike signatuuride jaotises valida variandid, mida soovite paketti lisada (näiteks signatuurid Windowsi erinevate versioonide või arhitektuuride jaoks).

Kui vorm on täidetud, klõpsake nuppu „Esita“ ja laske portaalil pakett töödelda. Kui Microsoft draiveri allkirjastamise lõpetab, näitab paneel, et esitus on töödeldud, ja lubab... Laadige alla juba allkirjastatud draiver, tavaliselt koos selle levitamiseks vajalike kataloogide ja metaandmetega.

Veenduge, et kontroller on õigesti allkirjastatud

Kui pakett on alla laaditud, on aeg kontrollida, kas kõik on korras. Esimene samm on saadetise failide lahtipakkimine ajutisse kausta ja käsurea akna avamine käsuga administraatori õigusedSealt edasi saate SignTooli abil kontrollida võtmebinaaridele rakendatud allkirju.

Põhiline käsk oleks SignTool kontrollib Echo.sys-imis kontrollib allkirja kehtivust kiiresti. Põhjalikumaks kontrolliks võite kasutada SignTool kontrollib /pa /ph /v /d Echo.syskus /pa näitab, et tuleks kasutada Authenticode'i poliitikat, /ph lisab räsikontrolli ja /v genereerib üksikasjaliku väljundi kogu sertifikaadiahela teabega.

Sertifikaadi täiustatud võtmekasutusvõimaluste (EKU-de) ülevaatamiseks saate kasutada Windows Explorerit: paremklõpsake binaarfailil, valige Atribuudid, minge vahekaardile „Digitaalallkirjad”, valige vastav kirje ja klõpsake nuppu „Üksikasjad”. Vahekaartidel „Kuva sertifikaat” ja „Üksikasjad” saate kontrollida välja „Täiustatud võtmekasutusvõimalused”, et veenduda, kas see sisaldab koodi või draiveri allkirjastamiseks sobivaid laiendusi.

Mõnede allkirjastamistöövoogude sisemine protsess viitab sellele, et Microsoft sisestage uuesti oma SHA-2 allkiri Binaarfailist eemaldatakse kõik kliendi lisatud allkirjad, mis ei vasta kehtivatele eeskirjadele. Samuti genereeritakse uus Microsofti allkirjastatud kataloogifail, mis asendab kõik müüja saadetud varasemad .CAT-failid.

Draiveri testimine ja installimine Windowsis

Kui draiver on allkirjastatud, tuleb veel kontrollida, kas see installitakse ja toimib sihtsüsteemis õigesti. Administraatori konsoolist saab kasutada tööriistu, näiteks [sisestage siia tööriistade nimed]. devcon installimise automatiseerimiseks. Näiteks kui pakett sisaldab faili echo.inf, mis määratleb root\ECHO seadme, piisab selle käivitamisest devconi installimine echo.inf root\ECHO sobivasse kausta.

Selle protsessi käigus, kui kõik on korralikult allkirjastatud, Reklaamid ei tohiks ilmuda Võivad ilmuda sellised teated nagu „Windows ei saa selle draiveritarkvara väljaandjat kontrollida”. Kui need ilmuvad, näitab see, et usaldusahelas või kataloogides on midagi valesti ja soovitatav on üle vaadata nii allkirjad kui ka süsteemi installitud juursertifikaadid.

Keerukamates olukordades on võimalik luua saadetised mitme kontrollerigaSelleks luuakse tavaliselt failistruktuuris eraldi alamkaustad, üks iga draiveripaketi (DriverPackage1, DriverPackage2 jne) jaoks, ning kohandatakse DDF-faili nii, et iga .SYS- ja .INF-failide komplekt paigutatakse CAB-failis omaette alamkausta. Seejärel koondab MakeCab kõik ühte kappi, mis on valmis portaali esitamiseks.

Juhi allkirjad kasutaja vaatenurgast

Lõppkasutaja vaatenurgast tajutakse juhi allkirjastamist kui Windowsi sisseehitatud turvafilterNagu allkirjastatud rakenduste puhulgi, on mõte selles, et kasutaja teaks, et tarkvara pärineb seaduslikust allikast ja seda pole muudetud. Draiverite puhul on nõue aga suurem, kuna need töötavad väga kõrge privileegitasemega.

Kui juht on nõuetekohaselt allkirjastatud ja ametlike kanalite kaudu avaldatud, Windows Update Operatsioonisüsteem ise levitab seda üsna läbipaistvalt. See teeb kasutajatele uuendatud ja parandatud versioonide saamise lihtsaks ilma käsitsi otsimata, kindlusega, et need on läbinud Microsofti filtrid.

Probleem tekib siis, kui on vaja installida digitaalselt allkirjastamata draiverid või kelle allkirja kehtivad poliitikad enam ei aktsepteeri (näiteks vanema riistvara kasutamisel uuemates süsteemides). Sellistel juhtudel blokeerib Windows installimise või kuvab korduvaid hoiatusi, sundides edasi kasutama täiustatud lahendusi.

Allkirjastamata draiverite installimise meetodid (ja nendega kaasnevad riskid)

Draiverite installimiseks, mis ei vasta allkirjastamispoliitikale, on mitu võimalust, kuid on oluline meeles pidada, et Iga meetod hõlmab erinevat riskitasetAjutine korrigeerimine, mis taaskäivitamisel tagasi pöördub, ei ole sama mis terviklikkuse kontrollide täielik keelamine.

Levinud meetod on Käivitage Windows, keelates ajutiselt allkirjastatud draiverite kohustusliku kasutamiseSelleks taaskäivitage arvuti, avades lisavalikud (näiteks menüüst Start, vajutades Shift-klahvi ja klõpsates nuppu Taaskäivita), minge jaotisse Tõrkeotsing > Lisavalikud > Käivitusseaded ja valige suvand „Keela draiveri allkirja jõustamine”. Seejärel käivitub süsteem ilma allkirju nõudmata, mis võimaldab teil draiveri installida. Uuesti taaskäivitamisel rakendatakse kaitse automaatselt uuesti.

Teine võimalus, mis on saadaval ainult Windows 10/11 Pro ja uuemad versioonidSelleks kasutage rühmapoliitika redaktorit (gpedit.msc). Kasutajakonfiguratsioon > Haldusmallid > Süsteem > Draiveri installimine jaotises saate muuta poliitikat „Seadme draiverite koodiallkirjastamine” ja määrata selle väärtuseks Keelatud. Pärast taaskäivitamist on Windows allkirjastamata draiverite või küsitavate allkirjadega draiverite suhtes palju leebem.

Testimis- ja arendusstsenaariumide jaoks on olemas nn. Proovirežiim Windowsi testimisrežiim aktiveeritakse administraatori konsoolist käsuga bcdedit ning see võimaldab laadida testsertifikaatidega allkirjastatud draivereid ilma neid avaliku infrastruktuuri kaudu edastamata. Selles režiimis ilmub töölauale tavaliselt vesimärk, mis näitab, et süsteem on testimisrežiimis.

Lõpuks on olemas kõige äärmuslikum variant: Keelake draiveri terviklikkuse kontroll täielikult kasutades bcdedit.exe (parameeter nointegritychecks). See jätab süsteemi täiesti haavatavaks mis tahes draiveri installimise suhtes, olenemata sellest, kas see on seaduslik või mitte, ning seda tuleks kasutada ainult väga erilistel juhtudel ja täieliku teadmisega, mida tehakse.

Juhi allkirjastamise keelamise tegelikud ohud

Selle kaitse keelamine pole lihtsalt väike ebamugavus, vaid avab ukse Üks raskemini tuvastatavaid ohte: draiveritaseme rootkitidNeed installitakse nii, nagu oleksid need õigustatud draiverid, kuid pärast laadimist on neil SÜSTEEMI õigused ja võimalus süsteemi väga madalal tasemel jälgida või manipuleerida.

Selline juurkomplekt suudab internetiliiklust pealt kuulata, võltsitud sertifikaate sisestada, ühendusi ründaja kontrollitavatele saitidele suunata, viirusetõrje installimist blokeerida ja muu pahavara sisenemist hõlbustada. Kõike seda saab teha praktiliselt ilma nähtavate jälgedeta kasutajale ja isegi paljude traditsiooniliste turvalahenduste puhul.

Kõrgeimate õigustega töötades on need pahatahtlikud draiverid praktiliselt nähtamatu ja raskesti eemaldatavPaljudel juhtudel on ainus realistlik lahendus formaat kogu arvuti ja alustada nullist, mis tähendab märkimisväärset aja- ja andmekaotust, kui ajakohaseid varukoopiaid pole.

Seega, kui rakendus palub teil draiveri allkirja jõustamise keelata, et installida "midagi maagilist", on tark olla kahtlustav. Võimaluse korral on eelistatav... otsige alternatiive või allkirjastatud versiooneisegi kui see tähendab teatud vananenud riistvarast või mõnest konkreetsest funktsionaalsusest loobumist.

Windowsi draiverid versus tootja draiverid

Lisaseadmete ja komponentide installimisel pakub Windows tavaliselt üldised draiverid Need võimaldavad teil riistvara põhilisel viisil kasutada. Näiteks multifunktsionaalne printer saab üldise draiveri abil probleemideta printida, kuid kui soovite skannida, kasutada automaatset dokumendisööturit või pääseda juurde lisavalikutele, vajate peaaegu kindlasti tootja ametlikku draiveripaketti.

Sama kehtib helikaartide, graafikakaartide ja muude keerukate seadmete kohta: geneeriliste draiveritega arvuti töötab, kuid kaovad funktsioonid, jõudluse optimeerimised või täiustatud konfiguratsioonitööriistad. Paljudel juhtudel pakuvad ametlikud draiverid ka neid funktsioone. konkreetsed veaparandused mis ei jõua kunagi Microsofti geneeriliste draiveriteni.

Nende draiverite allalaadimiseks on alati sobiv koht riistvaratootja ametlik veebisaitGoogle'is otsides näete sageli esmalt kolmandate osapoolte lehti, mis on täis kahtlaseid "draiverite allalaadijaid" või installijaid. Kui link ei pärine tootja domeenilt, on parem seda ignoreerida.

Kui draiverite allkirjastamine jääb lubatuks, blokeerib Windows paljud neist kahtlastest pakettidest, kui tuvastab, et tegemist on sobimatu tarkvaraga või et allkirjad pole korras. See toimib täiendava turvakihina kohmakate või lausa pahatahtlike installijate vastu.

Praktiline juhtum: sertifikaadi allkirjastamise viga GPU draiveritega Windows 7-s

Vanemate süsteemidega arvutites, näiteks Windows 7 64-bitineGraafikakaartide või muu uue riistvara moodsate draiverite installimisel on suhteliselt tavaline tekkida probleeme. Tüüpiline näide on tõrge „Allkirjastamissertifikaate pole installitud. Palun installige vajalikud sertifikaadid” draiverite installimisel. Nvidia GPU-de, näiteks GTX 1060 või GTX 950, jaoks.

Paljudel juhtudel, isegi kui kasutaja keelab draiveri allkirjastamise käivitamisel, ei tööta draiver pärast taaskäivitamist, kuna allkirjastamispoliitika lubatakse uuesti. Edukalt on proovitud lahendusi nagu draiveri kõigi eelmiste versioonide installimine, alternatiivsete installijate (nt Snappy Driver Installer) kasutamine, SHA-2 toe värskenduste (nt KB3033929) rakendamine või seadmehalduri kaudu uuesti installimine.

Üks praktiline lahendus, mis on toiminud, on installiversiooni sisu käsitsi ekstraheerimine. 474.11 (uusim WHQL-draiver Windows 7 jaoks) kausta ja värskendage seadmehalduris graafikakaardi draiverit, valides suvandi otsida draiverit arvutist ja määrates selle kausta. Sama meetod võib uuemate versioonide (nt 474.14) puhul ebaõnnestuda, kui viisard ei tunne INF-faile selle süsteemi kehtivatena.

Selline juhtum näitab, kui habras on tasakaal hiljutised draiverid, SHA-2 sertifikaadid ja operatsioonisüsteemide enam ei toetataVanematele platvormidele, mis ei saa värskendusi ega turvapaiku, on üha keerulisem paigaldada ja turvaliselt hoida moodsaid draivereid.

Kuidas tuvastada ja parandada vigaste draiveritega seotud probleeme

Isegi kui draiverid on õigesti allkirjastatud, võivad need kahjustuda või ebajärjekindlaks muutuda See võib juhtuda mitmel põhjusel: konfliktid teiste programmidega, pahavara, katkenud installid, Windowsi värskendused, mis ei õnnestu edukalt lõpule viia jne. Sellisel juhul lakkab mõjutatud seade tavaliselt töötamast või töötab ebakorrapäraselt.

Esimene diagnostikavahend on SeadmehaldurParemklõps nupul Start ja vastava valiku valimine avab tuvastatud riistvara täieliku loendi. Kui seadmel on draiveriprobleeme, on see tähistatud kollase hoiatusikooniga.

Sellistel juhtudel on esimene lahenduskatse paremklõpsata seadmel, valida „Uuenda draiverit” ja lasta Windowsil otsida sobivam draiver kas kohapeal või Windows Update'i kaudu. Kui see ei aita, saate seadme desinstallida (draivertarkvara alles hoides või mitte) ja taaskäivitada, et Windows prooviks seda uuesti installida.

Lisaks sisaldab Windows ka riistvara ja seadme tõrkeotsing Seadete paneelil, täpsemalt jaotises „Uuendamine ja turvalisus” > „Tõrkeotsing”, skannib see viisard süsteemi ebakorrapärasuste suhtes ja soovitab automatiseeritud toiminguid teatud draiverite funktsionaalsuse taastamiseks.

Kui probleemi põhjustas konkreetne draiverivärskendus, võib olla kasulik kasutada järgmist valikut: „Tagasi eelmise kontrolleri juurde” Seadme omaduste vahekaardil „Draiver” (eeldusel, et Windows säilitab eelmise versiooni), tühistab see probleemse installi ja võib taastada süsteemi stabiilsuse.

Vaadake ja analüüsige Windowsi installitud kolmanda osapoole draivereid

Süsteemi installitud sisu üle suurema kontrolli saavutamiseks on saadaval kolmandate osapoolte tööriistad, näiteks juhivaade Nirsofti tööriist kuvab kõigi teie arvutisse installitud draiverite üksikasjaliku loendi. See on tasuta kaasaskantav utiliit, mis lihtsustab oluliselt draiverite auditeerimist.

DriverView kasutab väga lihtsat värvikoodi: Kehtiva digitaalallkirjaga Microsofti draiverid kuvatakse valgel taustal.Kolmandate osapoolte draiverid (tootjatelt või lisatarkvaralt) on punasega esile tõstetud. See aitab kiiresti tuvastada, millised pusletükid ei sõltu otseselt operatsioonisüsteemist.

Loendit saab sortida veergude kaupa, näiteks "Ettevõtte" järgi, et grupeerida kõik sama ettevõtte draiverid. Lisaks sisaldab menüü Vaade tavaliselt valikut peita kõik Microsofti draiverid ja kuvada ainult kolmanda osapoole draivereid, mis võimaldab teil keskenduda neile, mis kõige tõenäolisemalt konflikte põhjustavad.

Topeltklõps mis tahes kirjel avab akna, kus on üksikasjalik juhi teaveVersioon, täielik tee, kirjeldus, tootja, üleslaadimise kuupäev jne. Tundmatute või kahtlaste draiverite puhul aitavad need andmed kindlaks teha, kas need on osa programmist, mida me tegelikult kasutame, või on soovitatav neid lähemalt uurida ja isegi desinstallida.

Kogu seda pilti arvestades on selge, et Draiveri allkirjad ja sertifikaadid Windowsis Need ei ole pelgalt formaalsus, vaid süsteemi stabiilsuse ja turvalisuse säilitamise põhikomponent. Draiverite allkirjastamise, Windowsi versioonide vaheliste nõuete muutumise, valideerimise tööriistade ja allkirjastamata või rikke korral tegutsemise mõistmine võimaldab meil oma riistvarast maksimumi võtta, jäädes samal ajal valvsaks väga madala taseme ohtude suhtes.