- Tanda tangan digital dari driver en Windows menjamin integritas pengontrol dan bertindak sebagai penghalang terhadap malware tingkat rendah seperti rootkit.
- Dimungkinkan untuk memvalidasi tanda tangan Microsoft dalam sebuah pengajuan dengan memeriksa EKU sertifikat di dalam file .cat dan menggunakan SignTool untuk memeriksa tanda tangan yang tertanam dalam file .sys.
- Windows memungkinkan Anda untuk melonggarkan atau menonaktifkan verifikasi tanda tangan melalui boot Bersifat sementara, kebijakan grup, mode uji atau bcdedit, selalu dengan risiko keamanan.
- Alat seperti Pengelola Perangkat DriverView membantu menemukan driver yang bermasalah atau mencurigakan dan memutuskan apakah driver tersebut perlu diperbarui atau dihapus.
Driver perangkat merupakan komponen kunci. agar Windows dapat memahaminya perangkat kerasKartu grafis, printer, adaptor Wi-Fi, kartu suara, dll. Ketika terjadi masalah dengan driver, kesalahan aneh muncul, perangkat berhenti berfungsi, atau terjadi kerusakan yang sulit dijelaskan. Dan, untuk memperumit masalah lebih lanjut, selama bertahun-tahun Microsoft telah mensyaratkan bahwa banyak driver ini harus ditandatangani secara digital agar dapat mengisi daya secara normal.
Verifikasi tanda tangan driver di Windows Ini adalah langkah pengamanan yang ampuh, tetapi juga bisa menjadi masalah besar ketika Anda perlu menginstal driver lama, driver uji, atau driver dari produsen yang belum disetujui oleh Microsoft. Dalam artikel ini, Anda akan melihat secara detail apa itu penandatanganan driver, bagaimana cara memverifikasinya, apa yang harus dilakukan ketika Anda menemukan kesalahan terkenal "Windows tidak dapat memverifikasi tanda tangan digital… (kode 52)", dan metode apa saja yang ada untuk menonaktifkan (sementara atau permanen) verifikasi ini, beserta semua risiko yang terkait.
Apa sebenarnya yang dimaksud dengan proses masuk driver di Windows?
Tanda tangan digital pengontrol berfungsi sebagai sertifikat keaslian.Ini sangat mirip dengan tanda tangan yang digunakan dalam aplikasi yang ditandatangani. Pada dasarnya, ini menunjukkan bahwa file driver belum dimodifikasi sejak pengembang menandatanganinya dan bahwa file tersebut juga telah melalui proses validasi yang dianggap andal oleh Microsoft.
Ketika sebuah produsen mengirimkan drivernya ke MicrosoftDriver ini dapat diuji (misalnya, dengan HLK/HCK) atau ditandatangani melalui pengesahan. Dalam kedua kasus tersebut, hasilnya adalah paket yang ditandatangani dengan sertifikat yang dikeluarkan oleh Microsoft. Tanda tangan ini menjamin bahwa driver tersebut ditujukan untuk sistem operasi dan kasus penggunaan tertentu, dan bahwa driver tersebut tidak rusak atau diubah antara sumber dan PC Anda.
Bagi pengguna awam, tanda tangan ini berfungsi sebagai filter keamanan.Secara default, Windows hanya memuat driver yang telah melewati proses persetujuan. Jika Anda mencoba menginstal driver yang tidak ditandatangani atau yang memiliki tanda tangan tidak valid, sistem mungkin akan memblokirnya, menampilkan peringatan, atau gagal memuat perangkat, terutama pada versi 64-bit Windows Vista dan yang lebih baru.
Di latar belakang, tanda tangan pengontrol juga berfungsi untuk memerangi ancaman yang sangat serius. seperti rootkit, yang menyamar sebagai driver sistem untuk mendapatkan izin. PELACAKAN PENGIRIMANSetelah malware jenis ini terinstal sebagai pengontrol, ia dapat memantau lalu lintas, mencegat koneksi dengan sertifikat palsu, menonaktifkan perangkat lunak antivirus, dan bersembunyi di tingkat yang sangat rendah, sehingga hampir tidak mungkin dideteksi tanpa [tidak jelas - mungkin "antivirus" atau "antivirus"]. untuk format.
Oleh karena itu, aturan umumnya jelas.Jika memungkinkan, gunakan driver yang ditandatangani oleh pabrikan atau dari [tidak jelas/tidak jelas]. Windows UpdateAnda sebaiknya hanya melewatkan tanda tangan digital jika Anda memiliki alasan yang kuat dan tahu persis apa yang Anda instal.
Studi kasus: Kode Kesalahan 52 "Windows tidak dapat memverifikasi tanda tangan digital..."
Dimulai dari Windows Vista x64 dan Windows Server 2008 dan versi yang lebih baru.Pesan kesalahan berikut cukup umum ditemui: "Windows tidak dapat memverifikasi tanda tangan digital driver yang diperlukan untuk perangkat ini. Perubahan perangkat keras atau perangkat lunak baru-baru ini mungkin telah menginstal file yang tidak ditandatangani dengan benar, rusak, atau merupakan perangkat lunak berbahaya dari sumber yang tidak dikenal. (Kode 52)."
Pesan ini berarti, sederhananya, bahwa tanda tangan pengontrol tidak valid. Hal ini bergantung pada kebijakan yang berlaku saat ini di sistem Anda. Bisa jadi driver tersebut sama sekali tidak ditandatangani, otoritas penerbit tidak tepercaya, sertifikat telah kedaluwarsa, atau integritas file terganggu.
Pada praktiknya, hasilnya adalah Windows mencegah perangkat tersebut berfungsi.Sebagai contoh, hal ini umum terjadi pada beberapa adaptor Wi-Fi. USB seperti model TP-Link TL-WN722N tertentu: Pengelola Perangkat mengenali perangkat tersebut, tetapi menampilkan kode 52 dan perangkat tidak beroperasi, kecuali Anda memulai sistem dengan menonaktifkan sementara penerapan wajib tanda tangan driver (menggunakan F8 atau opsi startup lanjutan).
Jika Anda harus menekan F8 atau menggunakan opsi startup lanjutan setiap kali Anda memulai komputer Anda Jika driver Anda tidak berfungsi, itu pertanda bahwa masalahnya terletak pada tanda tangan digital. Kemungkinan driver tersebut sudah usang, telah dimodifikasi, atau menggunakan sertifikat yang tidak tepercaya untuk versi Windows yang Anda gunakan.
Solusi ideal, jika memungkinkan, adalah mendapatkan versi driver yang ditandatangani dengan benar.baik dari situs web resmi produsen atau melalui Windows Update. Jika itu tidak memungkinkan, ada metode untuk melonggarkan atau menonaktifkan verifikasi tanda tangan, tetapi ini harus diterapkan dengan sangat hati-hati.
Cara memvalidasi tanda tangan Microsoft dalam pengajuan driver.
Dalam lingkungan pengembangan, pengujian, atau distribusi perangkat kerasSeringkali diperlukan verifikasi apakah sekumpulan driver tersebut benar-benar berfungsi. ditandatangani oleh Microsoftdan apakah sudah disertifikasi melalui pengesahan atau setelah lulus uji HLK/HCK. Untuk melakukan ini, langkah pertama adalah mengunduh paket yang sudah ditandatangani dari panel perangkat keras Microsoft yang bersangkutan.
Langkah-langkah umum untuk mengunduh file driver yang ditandatangani dari pengiriman. Langkah-langkahnya adalah: temukan pengiriman di portal perangkat keras, pilih pengidentifikasi produk pribadi, masukkan detail driver, dan di bagian "Paket dan properti tanda tangan", gunakan opsi "Lainnya" lalu "Unduh file yang ditandatangani".
Setelah Anda memiliki paketnya, elemen kuncinya biasanya adalah file .cat. terkait dengan pengontrol. Katalog ini berisi informasi tanda tangan dan sertifikasi. Dari sana Anda dapat melihat sertifikat yang digunakan untuk penandatanganan dan penggunaan yang diizinkan.
Untuk memverifikasi tanda tangan Microsoft menggunakan antarmuka grafis.Anda dapat mengklik kanan file .cat driver, membuka "Properti," lalu tab "Tanda Tangan Digital". Di sana Anda akan melihat nama sertifikat yang digunakan untuk tanda tangan. Dengan mengklik "Detail" untuk tanda tangan tersebut dan masuk ke tab "Detail" sertifikat, Anda dapat melihat kolom "Penggunaan Kunci yang Ditingkatkan" (EKU).
EKU menunjukkan untuk apa sertifikat penandatanganan tersebut dapat digunakan.Dalam kasus driver perangkat keras Windows, digunakan pengidentifikasi objek (OID) spesifik. OID yang berakhiran 5 biasanya sesuai dengan jenis tanda tangan non-attestasi, sedangkan OID yang berakhiran 1 menunjukkan bahwa driver tersebut ditandatangani dengan attestasi. Perbedaan ini penting ketika Anda memiliki dua versi driver yang sama dan perlu mengetahui mana yang mana.
Verifikasi tanda tangan dengan SignTool (tanda tangan tertanam dalam file .sys)
Selain tanda tangan di katalog .catBanyak driver kernel memiliki tanda tangan yang tertanam langsung di dalam file .sys. Untuk memeriksa jenis tanda tangan ini, alat standar yang digunakan adalah... Alat Tanda, termasuk dalam Windows SDK dan alat pengembangan Microsoft.
Perintah umum untuk memvalidasi tanda tangan yang tertanam dalam driver. Kurang lebih akan seperti ini:
SignTool — periksa tanda tangan: SignTool verify /v /pa DriverFileName.sys
Dalam perintah ini, opsi memeriksa Perintah tersebut menginstruksikan SignTool untuk memverifikasi tanda tangan. dari file driver yang ditentukan. Pengubah /v Ini mengaktifkan output terperinci, menampilkan pesan kemajuan dan potensi peringatan, sementara /pa Hal ini mengharuskan verifikasi dilakukan sesuai dengan persyaratan tanda tangan untuk instalasi perangkat PnP.
Harap dicatat bahwa SignTool tidak mengharuskan Anda untuk menentukan sertifikat tertentu. Sistem menggunakan sertifikat yang digunakan untuk menandatangani file; sistem mencari di penyimpanan sertifikat untuk melihat apakah rantai kepercayaan mengarah ke otoritas sertifikasi akar tepercaya. Oleh karena itu, jika Anda menggunakan sertifikat uji, wajib untuk terlebih dahulu menginstal sertifikat tersebut di penyimpanan "Otoritas Sertifikasi Akar Tepercaya" pada mesin yang Anda gunakan untuk verifikasi.
SignTool — contoh praktis: SignTool verify /v /pa amd64\toaster.sys
Jika verifikasi gagal, SignTool akan menampilkan pesan kesalahan. Menunjukkan apakah masalahnya adalah sertifikat tidak dapat ditemukan, rantai sertifikat tidak mencapai akar tepercaya, penggunaan kunci tidak sesuai, atau tanda tangan tidak sesuai dengan isi sebenarnya dari file (file yang dimanipulasi atau rusak).
Driver Windows bertanda tangan, tidak bertanda tangan, dan generik.
Dalam kehidupan sehari-hari pengguna Windows, pada dasarnya ada tiga jenis driver.: driver generik yang disediakan oleh sistem itu sendiri, driver resmi dari pabrikan dan, dalam jumlah yang lebih sedikit, driver pihak ketiga yang kurang dikenal atau versi uji coba.
Driver Generik Microsoft Perangkat lunak tersebut diinstal secara otomatis sehingga Anda dapat menggunakan sebagian besar perangkat keras sejak pertama kali komputer dinyalakan. Biasanya, perangkat lunak tersebut menawarkan serangkaian fitur dasar: misalnya, dengan printer multifungsi Anda mungkin hanya dapat mencetak, tetapi tidak dapat memindai atau menggunakan fungsi panel tingkat lanjut.
Driver yang disediakan oleh produsen perangkat keras. Mereka sering menambahkan fitur tambahan, meningkatkan kinerja, dan mengaktifkan alat-alat khusus: panel kontrol, utilitas kalibrasi, profil warna, fungsi suara khusus, dll. Jika Anda perlu menghapus instalasi GPU sepenuhnya, gunakan DDU.
Sangat umum terjadi bahwa, ketika mencari pengemudi di Google, situs web pihak ketiga muncul pertama. Situs-situs yang menjanjikan untuk "mengunduh driver apa pun" atau menginstal semuanya secara otomatis. Situs-situs semacam ini adalah sumber klasik malware dan driver yang dimodifikasi, jadi sebaiknya dihindari. Jika sistem Anda mengaktifkan verifikasi tanda tangan, banyak driver ini akan diblokir karena terdeteksi tidak valid. Jika Anda lebih suka menggunakan alat untuk mengidentifikasi driver, Anda dapat menggunakan... Sopir Mudah.
Terakhir, ada pengemudi uji atau pengemudi dari pengembang yang lebih kecil.Sertifikat-sertifikat ini mungkin ditandatangani dengan sertifikat yang ditandatangani sendiri atau oleh entitas yang tidak dikenali oleh Windows secara default. Dalam kasus ini, peringatan dan kesalahan seperti kode 52 mulai muncul.
Metode 1: Boot dengan menonaktifkan sementara penandatanganan driver
Cara paling sederhana dan tidak agresif untuk melewati pembatasan tersebut Ini melibatkan penggunaan opsi startup "Nonaktifkan penegakan tanda tangan driver." Mode ini hanya memengaruhi sesi tersebut; pada saat restart berikutnya, Windows kembali ke perilaku standarnya.
Idenya sederhana: Anda memulai sistem dengan opsi ini.Anda menginstal driver yang bermasalah dan, setelah selesai, memulai ulang secara normal. Ini memiliki keuntungan mengurangi el tiempo di mana sistem tidak terlindungi, meskipun hal itu tidak selalu menjamin bahwa driver akan terus berfungsi pada saat booting berikutnya tanpa ditandatangani dengan benar.
Di Windows 8, Windows 10 dan Windows 11Tombol F8 klasik disembunyikan secara default.Oleh karena itu, cara yang biasa dilakukan adalah mengakses opsi boot lanjutan dari dalam sistem itu sendiri. Anda dapat menekan dan menahan tombol tersebut. perubahan (Tekan Shift) sambil mengklik "Mulai Ulang" dari menu Mulai, atau jalankan di jendela CMD atau Jalankan:
Akses login tingkat lanjut: shutdown.exe /r /o
Setelah memulai ulang, Windows akan menampilkan menu opsi diagnostik.Dari sana, navigasikan ke "Pecahkan Masalah" > "Opsi lanjutan" > "Pengaturan Startup". Setelah mengklik OK, sistem akan memulai ulang, dan Anda akan melihat daftar opsi. Di antaranya akan ada "Nonaktifkan penegakan tanda tangan driver," yang biasanya dipilih dengan menekan F7.
En Windows 7Windows Vista dan versi Windows Server yang setara.Ya, F8 biasanya tersedia saat komputer dinyalakan. Cukup tekan berulang kali saat menghidupkan komputer, masuk ke opsi lanjutan, dan langsung pilih "Nonaktifkan penggunaan wajib driver yang ditandatangani."
Metode 2: Memodifikasi proses boot secara permanen menggunakan bcdedit
Jika Anda perlu menonaktifkan verifikasi tanda tangan secara permanen (misalnya, dalam lingkungan pengujian atau laboratorium), Anda dapat menggunakan bcdedit, alat garis dari perintah yang memungkinkan Anda mengubah pengaturan pengelola boot Windows.
Berbeda dengan metode sementara sebelumnya, perubahan yang dilakukan dengan bcdedit bersifat permanen. setelah setiap kali Anda memulai ulang hingga Anda mengembalikannya. Karena alasan yang sama, Anda harus menggunakannya dengan sangat hati-hati, karena Anda akan membuka peluang bagi driver tanpa tanda tangan yang valid untuk dimuat.
Untuk menonaktifkan pemeriksaan menggunakan bcdedit, membuka jendela Command prompt dengan hak akses administrator (klik kanan "Jalankan sebagai administrator") dan jalankan, misalnya:
bcdedit — aktifkan mode uji dan nonaktifkan integritas: bcdedit /set testsigning on
bcdedit /set nointegritychecks on
Parameter uji penandatanganan Aktifkan mode ujiDirancang untuk memungkinkan pengembang mengunggah driver uji yang ditandatangani dengan sertifikat uji. Nilainya tidak ada pemeriksaan integritas pada Fitur ini menonaktifkan pemeriksaan integritas tanda tangan, memungkinkan Windows untuk memuat driver meskipun tanda tangannya gagal dalam validasi biasa.
Saat Anda ingin kembali ke perilaku Windows normalAnda harus menghapus nilai-nilai tersebut dari konfigurasi bootloader dengan:
bcdedit — kembalikan testsigning/nointegritychecks: bcdedit /deletevalue testsigning
bcdedit /deletevalue nointegritychecks
Jika Anda memiliki pertanyaan tentang nilai mana yang saat ini aktifAnda dapat memeriksa pengaturan dengan:
Periksa status pengisi daya: bcdedit /v
Sebelum menerapkan perubahan permanen semacam ini, ada baiknya mempertimbangkan dua poin penting.Jika BitLocker diaktifkan, nonaktifkan sementara, dan jika diaktifkan di BIOS/UEFI, Secure BootAnda perlu menonaktifkannya, karena mekanisme ini secara khusus mencegah pemuatan sistem atau konfigurasi yang belum terverifikasi.
Nonaktifkan penandatanganan driver dari kebijakan grup.
Pengguna Windows 10/11 Pro dan edisi yang setara Anda dapat menyesuaikan perilaku penandatanganan driver melalui Editor Kebijakan Grup Lokal (gpedit.msc). Metode ini tidak tersedia di edisi Home.
Untuk menggunakannya, buka kotak dialog Run dengan menekan Win + R.menulis gpedit.msc lalu tekan Enter. Di editor yang terbuka, navigasikan ke "Konfigurasi Pengguna" > "Templat Administratif" > "Sistem" > "Instalasi Driver".
Di dalam jalur tersebut Anda akan menemukan opsi "Penandatanganan kode untuk driver perangkat"Klik dua kali untuk membuka pengaturannya. Di sana Anda dapat memilih berbagai kebijakan: peringatkan, blokir, atau izinkan.
Jika Anda memilih "Nonaktifkan" atau menyesuaikan kebijakan sehingga tidak memerlukan tanda tanganWindows akan kurang ketat saat menginstal driver, meskipun Anda harus ingat bahwa ini berlaku untuk konteks pengguna dan mungkin tidak mencakup semua kasus kernel atau driver yang dimuat pada tahap awal booting.
Setelah mengubah kebijakan ini, disarankan untuk memulai ulang komputer. untuk memastikan aturan baru diterapkan sepenuhnya. Dan, setelah Anda menginstal driver yang bermasalah, pertimbangkan untuk kembali ke konfigurasi yang lebih ketat untuk menghindari kerentanan tersebut tetap terbuka tanpa batas waktu.
Mode Uji di Windows
Windows menyertakan "Mode Uji" yang dirancang dengan baik. Untuk skenario di mana perlu menjalankan driver atau aplikasi yang tidak ditandatangani dengan sertifikat standar. Dalam mode ini, driver uji dapat dimuat tanpa perlu ditandatangani dengan otoritas sertifikasi yang diakui Microsoft.
bcdedit juga digunakan untuk mengaktifkan atau menonaktifkan mode ini.Dari konsol dengan hak akses administrator, Anda dapat mengontrol parameter tersebut. TESTSIGNNINGMeskipun banyak panduan menunjukkan sebaliknya, cara pengoperasian umumnya adalah:
TESTSIGNING — perintah aktivasi: bcdedit /set TESTSIGNING ON
Mengatur TESTSIGNING ke ON akan memulai sistem dalam mode uji. Anda akan melihat tanda air di desktop Anda yang menunjukkan sesuatu seperti "Mode Uji Windows...". Saat mode ini aktif, Anda dapat menginstal dan memuat driver yang ditandatangani dengan sertifikat uji.
Setelah Anda selesai menginstal atau menguji driver yang diperlukanSebaiknya kembali ke mode normal dengan menjalankan perintah kebalikannya:
TESTSIGNING — perintah nonaktifkan: bcdedit /set TESTSIGNING OFF
Pendekatan ini merupakan semacam jalan tengah. Di antara metode booting sementara 100% dengan F7 dan menonaktifkan sepenuhnya pemeriksaan integritas. Ini terutama ditujukan untuk pengembang dan penguji yang bekerja dengan driver yang masih dalam pengembangan.
Nonaktifkan sepenuhnya verifikasi tanda tangan driver.
Ada metode yang lebih radikal yang dapat menonaktifkannya secara permanen. Salah satu fungsi keamanan terpenting yang terkait dengan pengontrol adalah pemeriksaan integritas tanda tangan. Ini adalah solusi ekstrem dan hanya boleh digunakan sebagai upaya terakhir.
Idenya sederhana: memberi tahu Windows, menggunakan bcdedit, untuk tidak melakukan pemeriksaan integritas. Saat memuat driver. Untuk melakukan ini, perintah seperti berikut biasanya digunakan di konsol administrator:
NoIntegrityChecks — nonaktifkan pemeriksaan: bcdedit.exe /set nointegritychecks on
Dengan penyesuaian ini, Windows akan mengizinkan instalasi dan pemuatan driver yang tidak lolos pemeriksaan tanda tangan.Dengan kata lain, hampir semua driver dapat dijalankan, terlepas dari asalnya, selama mekanisme lain (seperti Secure Boot) tidak mencegahnya.
Setelah Anda menginstal semua driver yang Anda butuhkanSangat disarankan untuk membatalkan perubahan ini dan kembali ke nilai default untuk mengembalikan perlindungan. Untuk melakukan ini, Anda dapat menjalankan:
NoIntegrityChecks — pulihkan pemeriksaan: bcdedit.exe /set nointegritychecks off
Menonaktifkan pemeriksaan ini secara permanen akan sangat meningkatkan potensi serangan.Driver berbahaya dapat masuk melalui jalur ini dengan izin penuh dan tanpa dihentikan oleh Windows. Oleh karena itu, di lingkungan pribadi, biasanya lebih bijaksana untuk menggunakan metode sementara atau mencari alternatif driver yang ditandatangani daripada membiarkan sistem tidak terlindungi sepanjang waktu.
Bahaya nyata memasang driver yang tidak ditandatangani
Proses penandatanganan oleh pengemudi mungkin tampak merepotkan. Anda mungkin hanya ingin adaptor Wi-Fi atau printer lama Anda berfungsi, tetapi ada baiknya mengingat mengapa pembatasan ini ada. Ancaman berbasis driver (rootkit, bootkit, dll.) termasuk yang paling berbahaya di luar sana.
Driver berbahaya berjalan dengan hak akses SYSTEM.di atas pengguna dan banyak pertahanan. Dari sana, ia dapat mencegat semua lalu lintas jaringan, memanipulasi sertifikat untuk mengalihkan koneksi ke situs web palsu, mencatat penekanan tombol, memata-matai kata sandi, dan banyak lagi.
Selain itu, jenis malware ini biasanya hampir tidak terlihat. Hal ini karena perangkat lunak antivirus dan keamanan yang berjalan pada sistem operasi itu sendiri dimuat pada level yang lebih rendah. Dalam banyak kasus, satu-satunya cara yang andal untuk menyingkirkan rootkit semacam itu adalah dengan memformat dan menginstal ulang Windows sepenuhnya.
Oleh karena itu, Anda tidak boleh dengan mudah menonaktifkan penandatanganan driver. Jangan percaya pada program yang meminta Anda untuk menonaktifkannya agar dapat menginstal "driver ajaib" atau "optimizer" yang disebut-sebut efektif. Sebelum bereksperimen dengan opsi-opsi ini, ada baiknya mencari alternatif dari sumber yang terpercaya atau mempertimbangkan apakah Anda benar-benar membutuhkan driver spesifik tersebut.
Aturan emasnya sederhana: hanya instal driver dari sumber tepercaya.Terutama jika Anda memutuskan untuk bersantai atau menonaktifkan verifikasi tanda tangan. Jalan pintas kecil hari ini dapat menjadi masalah besar besok jika driver yang terinfeksi mengambil kendali komputer Anda.
Penulis yang bersemangat tentang dunia byte dan teknologi secara umum. Saya suka berbagi ilmu melalui tulisan, dan itulah yang akan saya lakukan di blog ini, menunjukkan kepada Anda semua hal paling menarik tentang gadget, perangkat lunak, perangkat keras, tren teknologi, dan banyak lagi. Tujuan saya adalah membantu Anda menavigasi dunia digital dengan cara yang sederhana dan menghibur.