Potrdila in podpisi gonilnikov v sistemu Windows: popoln vodnik

V sistemu Windows je upravljavci in njihovi digitalni podpisi Postale so ključna komponenta varnosti sistema. Poleg preprostega omogočanja delovanja tiskalnika, grafične kartice ali pametne kartice je danes pomembno tudi to, da lahko sistem preveri, ali je programska oprema pristna, ima integriteto in prihaja od zaupanja vrednega prodajalca.

Če ste kdaj naleteli na sporočila, kot je »Windows ne more preveriti izdajatelja te gonilniške programske opreme« Ali napake, povezane s potrdili pri nameščanju gonilnika – veste, kako frustrirajoče je to lahko. V tem članku bomo mirno razložili, kako deluje podpisovanje gonilnikov v sistemu Windows (tako v jedrnem kot v uporabniškem načinu), katere zahteve se spreminjajo glede na različico sistema Windows, kako podpisati lastne gonilnike in katere možnosti imate za varno onemogočanje preverjanja podpisa, ko nimate druge izbire.

Kaj je podpisovanje gonilnikov v sistemu Windows in zakaj je tako pomembno?

Razpis podpis voznika To preprosto vključuje povezavo digitalnega podpisa (na podlagi potrdil) s paketom gonilnikov. Ta podpis se običajno uporabi za datoteko kataloga paketa (.CAT) ali neposredno za binarne datoteke gonilnikov (.SYS, .DLL itd.) z uporabo tehnik vdelanega podpisovanja.

Med namestitvijo naprave Windows uporablja te digitalni podpisi za dve ključni stvariSistem preveri, ali paket ni bil spremenjen od podpisa (integriteta), in potrdi identiteto prodajalca programske opreme (izdajatelja gonilnika). Če je kaj narobe, se prikaže opozorilo ali pa se v strožjih primerih namestitev ali nalaganje gonilnika blokira.

V 64-bitnih različicah sistema Windows Vista in novejših je Microsoft uvedel dokaj jasen pravilnik: Vsi gonilniki v načinu jedra morajo biti podpisani da se lahko naložijo, z zelo redkimi izjemami. To uvršča gonilnike v isto varnostno kategorijo kot ostale sistemske binarne datoteke, saj lahko napaka na ravni jedra popolnoma ogrozi sistem.

Pravila so postala strožja z časOd različice sistema Windows 10 1507 naprej so vsi gonilniki podpisani prek Razvojni center strojna oprema Microsoft Obvezno jih je podpisati s SHA-2. Stari SHA-1 je zaradi kriptografskih varnostnih razlogov postal zastarel in Microsoft ga postopoma odstranjuje iz celotnega ekosistema.

Pomembna podrobnost: binarne datoteke gonilnikov v jedrnem načinu, podpisane z dvojnimi potrdili (SHA-1 + SHA-2), ki jih izdajo subjekti, ki niso Microsoftovi, lahko imajo težave pri sistemi pred sistemom Windows 10...ali celo povzročijo zrušitve v sistemu Windows 10 in novejših različicah. Da bi to preprečil, je Microsoft izdal posodobitev KB3081436, ki vključuje pravilne zgoščene vrednosti datotek in odpravlja vedenje pri nalaganju v teh primerih.

Pregled podpisovanja gonilnikov v sistemu Windows

Da bi v celoti razumeli, kako vse to deluje, je koristno ločiti koncepte. Po eni strani obstaja podpis voznikove kode (način jedra ali uporabniški način) in po drugi strani zahteve za podpisovanje za namestitev naprav Plug and Play (PnP). Čeprav gresta z roko v roki, nista povsem enaki: lahko imate gonilnik, ki je pravilno podpisan na binarni ravni, vendar ne izpolnjuje nekaterih dodatnih zahtev za namestitev.

Microsoft ima posebno dokumentacijo o digitalni podpisi za module jedra v sistemu Windows Vista in novejših sistemihTa dokument podrobno opisuje, katera potrdila so veljavna, kako je treba zgraditi verige zaupanja in kateri algoritmi zgoščevanja so podprti (trenutno SHA-2). Za gonilnike, ki prenašajo zaščiteno vsebino (zvok in video z DRM, PUMA, PAP, PVP-OPM itd.), obstajajo tudi posebne zahteve za podpisovanje kode, osredotočene na zaščito večpredstavnostne vsebine.

Kar zadeva objavljanje, danes obstaja več načinov za Pošljite gonilnike na Microsoftov portal za strojno opremoZa produkcijske gonilnike je standardni pristop izvajanje testov z uporabo HLK ali starejšega HCK in nalaganje binarne datoteke in dnevnikov testov. Za scenarije samo za odjemalce v sistemu Windows 10 je mogoče uporabiti podpisovanje s potrditvijo, kar zmanjša potrebo po avtomatiziranem testiranju, hkrati pa ohrani preverjanje veljavnosti in podpisovanje s strani Microsofta.

Možnost testni podpis Zasnovano za interni razvoj in testiranje, kjer se uporabljajo nejavna potrdila ali potrdila, ki jih izda zasebna infrastruktura javnih ključev (PKI). Ti gonilniki se bodo naložili le, če je sistem konfiguriran v testnem načinu ali s posebnimi pravilniki, ki dovoljujejo testne gonilnike.

Izjeme in navzkrižno podpisani krmilniki

V vmesnih različicah sistema Windows 10 je bila uporabljena tako imenovana »krmilniki z navzkrižnim podpisom« Navzkrižno podpisani gonilniki so še vedno dovoljeni pod določenimi pogoji. To so gonilniki, ki jih je prodajalec podpisal s potrdilom Authenticode, povezanim z vmesnim potrdilom, ki ga je podpisal Microsoft, s čimer se zaobide celoten potek dela portala strojne opreme.

Microsoft vzdržuje več izjem, da prepreči, da bi se že nameščeni sistemi neuspešno zagnali. Navzkrižno podpisani gonilniki so dovoljeni v naslednjih primerih: Računalnik je bil nadgrajen s prejšnje različice sistema Windows na Windows 10 različice 1607.; on škorenj Varni zagon je v BIOS-u/UEFI-ju onemogočen ali pa je gonilnik podpisan s potrdilom, izdanim pred 29. julijem 2015, ki se povezuje s podprtim navzkrižno podpisanim overiteljem potrdil.

Da bi zmanjšali tveganje, da bi sistem postal neuporaben, zagonski krmilniki Niso blokirani, tudi če niso skladni z novimi pravilniki, vendar jih lahko Pomočnik za združljivost programov označi in predlaga njihovo odstranitev ali zamenjavo. Namen je preprečiti motnje v zagonskem zaporedju, temveč postopoma odstraniti neskladne gonilnike.

Zahteve za podpisovanje različic sistema Windows

Zahteve glede podpisa se razlikujejo glede na določena različica operacijskega sistema in ali sistem uporablja Secure Boot. Na splošno lahko tabelo pravilnikov podpisovanja za odjemalske izdaje povzamemo takole:

• Windows Vista in Windows 7in tudi Windows 8+ z onemogočenim varnim zagonomPri 64-bitnih potrdilih je podpis obvezen, medtem ko pri 32-bitnih potrdilih podpis ni bil obvezen. Podpis je lahko vdelan v datoteko ali v povezan katalog, zahtevani algoritem pa je SHA-2. Veriga potrdil se mora zaradi integritete kode končati v standardnih zaupanja vrednih korenih.
• Windows 8 in 8.1 ter Windows 10 različici 1507 in 1511 z omogočenim varnim zagonomTako 32-bitni kot 64-bitni gonilniki zahtevajo podpisane gonilnike. Vgrajeno ali kataloško podpisovanje je še vedno dovoljeno z uporabo SHA-2, pri čemer se za celovitost kode zanašamo na standardne korenske imenike.
• Različice sistema Windows 10 1607, 1703 in 1709 z varnim zagonomZahteva je strožja in podpisi morajo biti zasidrani na določena Microsoftova korenska potrdila (Microsoft Root Authority 2010, Microsoftov korenski overitelj potrdil in Microsoftov korenski overitelj potrdil).
• Windows 10 različice 1803 in novejše različice z varnim zagonom: enake zahteve glede podpisa, ki so zasidrane v zgoraj omenjenih Microsoftovih korenskih pooblastilih, se ohranijo tako za 32-bitne kot 64-bitne sisteme.

Paket mora poleg podpisa voznikove kode izpolnjevati tudi zahteve glede podpisa za namestitev naprav PnPTo pomeni, da morajo biti datoteke .INF, katalogi in binarne datoteke pravilno povezani in odražani v podpisu za namestitveni program naprave (in Upravitelj naprav) jih štejejo za veljavne.

Obstajajo tudi posebne vrste gonilnikov, kot so npr. ELAM (zgodnji zagon proti zlonamerni programski opremi)ki se naložijo zelo zgodaj med zagonom, da zaščitijo sistem pred zlonamerna programska oprema nizka raven. Za te gonilnike so dodatne zahteve za podpisovanje in certificiranje, dokumentirane v priročniku za zaščito pred zlonamerno programsko opremo ob zgodnjem zagonu.

Podpisovanje gonilnika za Windows 10, Windows 8.x in Windows 7

Če ste razvijalec gonilnikov ali delate v okolju, kjer se distribuirajo gonilniki po meri, morate upoštevati Program združljivosti strojne opreme sistema Windows (WHCP) z uporabo ustreznih orodij za vsako različico: HLK za Windows 10 in HCK za starejše različice.

V primeru sistema Windows 10 bi bil tipičen potek naslednji: prenos Komplet za strojno opremo (HLK) Za vsako različico sistema Windows 10, ki jo želite podpirati, namestite testno okolje in zaženite celoten postopek certificiranja na odjemalcu, ki izvaja to različico. Vsak zagon bo ustvaril dnevnik testiranja.

Če ste gonilnik preizkusili v več različicah, boste imeli več dnevnikov. To je običajno. združite vse dnevniki v enem samem poročilu z uporabo najnovejše različice HLK. Ta kombinacija poenostavlja oddajo na portal strojne opreme in omogoča enemu podjetju, da pokrije več različic sistema.

Ko imate registre, pošljete binarno datoteko krmilnika in združene rezultate HLK v Plošča centra za razvijalce strojne opreme sistema WindowsTam izberete želeno vrsto podpisa (na primer produkcijski, overitveni itd.), konfigurirate lastnosti pošiljke in počakate, da samodejni Microsoftov postopek ustvari podpisane kataloge in vam vrne že certificiran paket.

Podoben pristop se uporablja za sisteme Windows 7, Windows 8 in Windows 8.1, vendar z uporabo Komplet za certificiranje strojne opreme (HCK) ustrezno za vsako različico. Microsoft vzdržuje uporabniški priročnik za ta komplet, ki pojasnjuje potek dela testiranja, validacije in dostave.

Podpisovanje gonilnikov za različice sistema Windows 10, starejše od različice 1607

Pred prihodom sistema Windows 10 različice 1607 je veliko vrst gonilnikov potrebovalo Avtentično potrdilo v kombinaciji z Microsoftovim navzkrižnim certificiranjem. Ta tehnika, znana kot navzkrižno podpisovanje, je proizvajalcem omogočila, da so podpisali svoje gonilnike in jih Windows sprejel, kot da bi jih "blagoslovila" Microsoftova infrastruktura.

Med krmilniki, ki so zahtevali ta model podpisa, so bili gonilniki naprav v jedrnem načinuMednje spadajo gonilniki uporabniškega načina, ki tesno sodelujejo z jedrom, in gonilniki, ki se uporabljajo za predvajanje ali obdelavo zaščitene vsebine (zvok in video, zaščiten z DRM). Slednji vključujejo zvočne gonilnike, ki temeljijo na PUMA ali PAP, ter video gonilnike, ki upravljajo zaščito izhoda (PVP-OPM).

Podpisovanje kode za zaščitene multimedijske komponente ima svoje smernice, saj mora veriga zaupanja in razširitve potrdil zagotavljati, da zaščitene vsebine ni mogoče enostavno prestreči ali manipulirati.

Praktična uporaba orodja SignTool za podpisovanje gonilnikov v načinu jedra (Windows 7 in 8)

V praksi je vodilno orodje za podpisovanje binarnih datotek v sistemu Windows Orodje za podpise, vključen v komplet za razvoj programske opreme za Windows. Za gonilnike v jedrnem načinu v sistemih Windows 7 in 8 je na voljo več možnosti, ki so še posebej uporabne pri podpisovanju in preverjanju.

Med najpomembnejšimi parametri orodja SignTool so: /ac za dodajanje dodatnega potrdila (kot je Microsoftovo navzkrižno potrdilo)/f za označevanje datoteke, ki vsebuje potrdilo za podpis (na primer .pfx), /p za geslo tega PFX-a, /fd za določitev algoritma zgoščevanja (na primer /fd sha256 za vsiljenje SHA-256, ker je SHA-1 zgodovinsko privzeta vrednost).

Parameter je tudi bistven /n «Splošno ime potrdila»To vam omogoča, da izberete pravilno potrdilo iz shrambe potrdil sistema Windows z uporabo njegovega običajnega imena. Če želite dodati časovne žige, lahko uporabite /t s klasičnim strežnikom Authenticode ali /tr s strežnikom, ki je skladen z RFC 3161, kar je najsodobnejša in priporočena možnost.

En možen potek dela bi bil zbiranje binarnih datotek gonilnikov v delovnem imeniku ali celo kopiranje vsega v mapo bin kompleta za razvoj programske opreme Windows. Nato se pridobi potrdilo za podpisovanje kode in po potrebi Microsoftovo navzkrižno certificiranje (na primer CrossCert, ki ustreza overitelju potrdila, ki je izdal vaše potrdilo). Oba sta shranjena v istem imeniku, iz katerega boste zagnali SignTool.

Ko je vse pripravljeno, bi lahko bil primer ukaza nekaj takega: orodje za podpisovanje /ac CrossCert.crt /f CodeSign.pfx /p password1234 /fd sha256 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sysTo ustvari sodoben podpis s SHA-256, vključuje navzkrižno certificiranje in doda časovni žig RFC 3161, ki je bistvenega pomena za to, da podpis ostane veljaven tudi po poteku veljavnosti potrdila.

Ko je podpisan, je priporočljivo preveriti z ukazom, kot je signtool preveri -v -kp filter.sysZastavica -v prikaže podrobne informacije, medtem ko -kp preveri podpis glede na merila gonilnika v načinu jedra. Če izhod kaže, da je podpis veljaven in da se veriga zaupanja konča v sprejetem korenu, je gonilnik pripravljen za namestitev.

Pomembno si je zapomniti, da je v mnogih primerih podpisana tudi datoteka kataloga (.CAT). Postopek se ponovi: datoteka .CAT je podpisana, preverjena in ko je vse v redu, se gonilnik normalno namesti v sistem.

Podpis za potrditev in ustvarjanje paketov CAB

Microsoft ponuja podpis kot potrdilo kot relativno lahek način distribucije gonilnikov, zlasti v odjemalskih sistemih Windows 10. Prodajalec je odgovoren za zagotovitev, da gonilnik izpolnjuje zahteve, Microsoft pa je omejen na preverjanje in podpisovanje, s čimer se v nekaterih primerih izogne ​​​​polni paleti testov HLK.

Za pošiljanje krmilnika s potrditvijo, a Datoteka CAB ki združuje bistvene komponente paketa. Tipična datoteka CAB vključuje sam binarni gonilnik (.SYS), datoteko INF (.INF), ki jo bo Windows uporabil med namestitvijo, simbole za odpravljanje napak (.PDB) za analizo napak in včasih kataloge .CAT, ki jih bo Microsoft uporabil kot referenco za preverjanje strukture (čeprav nato ustvari lastne kataloge za končno distribucijo).

Ustvarjanje je preprosto: vse datoteke, ki jih je treba podpisati, so zbrane v enem samem imeniku, na primer C:\Echo. Iz okna ukazi S skrbniškimi pravicami se za ogled možnosti pregleda pomoč MakeCab in pripravi se datoteka DDF s potrebnimi direktivami, ki določajo, katere datoteke bodo stisnjene, katera omarica bo ustvarjena in v katerih podmapah naj bodo organizirane znotraj CAB.

Za primer krmilnika Echo bi lahko datoteka DDF nastavila ime izhoda na Echo.cab, omogočila stiskanje MSZIP in definirala ciljni imenik (DestinationDir=Echo), tako da v korenskem imeniku datoteke cab ni nobenih ohlapnih datotek. Nato so navedene celotne poti do datotek Echo.inf in Echo.sys, da jih MakeCab vključi.

Ko je DDF pripravljen, zaženete nekaj takega MakeCab /f Echo.ddfOrodje bo prikazalo, koliko datotek je vključilo, doseženo stopnjo stiskanja in v katero mapo (običajno Disk1) je shranilo nastalo datoteko CAB. Preprosto odprite datoteko Echo.cab z Raziskovalcem, da preverite, ali vsebuje vse pričakovane podatke.

Podpišite CAB s potrdilom EV in ga pošljite v Partnerski center

Preden naložite paket na Microsoftov portal za strojno opremo, je običajno, da podpišite CAB s potrdilom EV (razširjena validacija)Ta potrdila, ki so strožja pri preverjanju entitete, zagotavljajo dodatno zaupanje in so pogosto zahteva za določene vrste podpisov.

Postopek se nekoliko razlikuje glede na ponudnika potrdila EV, vendar je splošna ideja, da ponovno uporabite SignTool, tokrat usmerjeno na CAB. Tipičen ukaz je lahko: SignTool sign /s MY /n »Ime podjetja« /fd sha256 /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp /td sha256 /v C:\Echo\Disk1\Echo.cab, ki v pilotsko kabino doda podpis SHA-256 s časovnim žigom SHA-256.

Po podpisu dobite dostop do Microsoftov partnerski centerNatančneje, pojdite na ploščo strojne opreme in se prijavite s poverilnicami svoje organizacije. Tam izberite možnost »Pošlji novo strojno opremo«, naložite podpisano datoteko CAB in izpolnite lastnosti oddaje: ime izdelka, vrsto zahtevanega podpisa, ali želite testni podpis ali samo produkcijski podpis itd.

Pomembno je, Ne aktivirajte možnosti testnega podpisa Če iščete produkcijski gonilnik, v razdelku z zahtevanimi podpisi izberete različice, ki jih želite vključiti v paket (na primer podpise za različne različice sistema Windows ali arhitekture).

Ko je obrazec izpolnjen, kliknite Pošlji in pustite, da portal obdela paket. Ko Microsoft konča s podpisovanjem gonilnika, bo v oknu prikazano, da je bila oddaja obdelana, in bo to dovoljeno. Prenesite že podpisan gonilnik, običajno skupaj s katalogi in metapodatki, potrebnimi za njegovo distribucijo.

Preverite, ali je krmilnik pravilno podpisan

Ko je paket prenesen, je čas, da preverite, ali je vse v redu. Prvi korak je, da datoteke iz pošiljke izvlečete v začasno mapo in odprete okno ukaznega poziva z skrbniške praviceOd tam lahko s pomočjo orodja SignTool preverite podpise, uporabljene za ključne binarne datoteke.

Osnovni ukaz bi bil SignTool preveri datoteko Echo.syski hitro preveri veljavnost podpisa. Za temeljitejše preverjanje lahko uporabite SignTool preveri /pa /ph /v /d Echo.syskjer /pa označuje, da je treba uporabiti pravilnik Authenticode, /ph doda preverjanje zgoščene vrednosti, /v pa ustvari podroben izpis z vsemi informacijami o verigi potrdil.

Za pregled razširjene uporabe ključev (EKU) potrdila, ki se uporablja za podpisovanje, lahko uporabite Raziskovalec: z desno tipko miške kliknite binarno datoteko, izberite Lastnosti, pojdite na zavihek »Digitalni podpisi«, izberite ustrezen vnos in kliknite »Podrobnosti«. V razdelku »Ogled potrdila« in na zavihku »Podrobnosti« lahko preverite polje »Izboljšana uporaba ključev«, da potrdite, da vključuje ustrezne razširitve za podpisovanje kode ali podpisovanje gonilnikov.

Notranji postopek nekaterih delovnih tokov podpisovanja pomeni, da Microsoft ponovno vstavite svoj podpis SHA-2 V binarni datoteki se odstranijo vsi podpisi, ki jih uporabi odjemalec, če niso skladni s trenutnimi pravilniki. Ustvari se tudi nova datoteka kataloga, ki jo je podpisal Microsoft in nadomesti vse prejšnje datoteke .CAT, ki jih je poslal prodajalec.

Testiranje in namestitev gonilnika v sistemu Windows

Ko je gonilnik podpisan, je treba še preveriti, ali se pravilno namesti in deluje v ciljnem sistemu. V skrbniški konzoli je mogoče uporabiti orodja, kot je [vstavite imena orodij tukaj]. devcon za avtomatizacijo namestitve. Če na primer paket vsebuje datoteko echo.inf, ki definira napravo root\ECHO, bi bilo dovolj, da jo zaženete devcon namestitev echo.inf koren\ECHO v ustrezni mapi.

Med tem postopkom, če je vse pravilno podpisano, Oglasi se ne smejo prikazovati Pojavijo se lahko sporočila, kot je »Windows ne more preveriti izdajatelja te gonilniške programske opreme«. Če se pojavijo, to pomeni, da je nekaj v verigi zaupanja ali v katalogih napačno poravnano, zato je priporočljivo pregledati tako podpise kot korenska potrdila, nameščena v sistemu.

V bolj zapletenih scenarijih je mogoče ustvariti pošiljke z več kontrolorjiZa to je običajen pristop ustvariti ločene podmape znotraj strukture datotek, eno za vsak paket gonilnikov (DriverPackage1, DriverPackage2 itd.), in prilagoditi datoteko DDF tako, da je vsak niz datotek .SYS in .INF nameščen v svoji podmapi znotraj CAB. MakeCab nato vse skupaj sestavi v eno samo mapo, ki je pripravljena za oddajo na portal.

Podpisi gonilnikov z vidika uporabnika

Z vidika končnega uporabnika se podpisovanje voznikov dojema kot varnostni filter, vgrajen v sistem WindowsKot pri podpisanih aplikacijah je ideja, da uporabnik ve, da programska oprema prihaja iz legitimnega vira in ni bila spremenjena. Vendar pa je pri gonilnikih zahteva večja, ker delujejo z zelo visoko stopnjo privilegijev.

Ko je voznik pravilno podpisan in objavljen po uradnih kanalih, Windows Update Operacijski sistem sam ga distribuira precej pregledno. To uporabnikom omogoča enostavno prejemanje posodobljenih in popravljenih različic, ne da bi morali karkoli iskati ročno, z zagotovilom, da so prestale Microsoftove filtre.

Težava nastane, ko morate namestiti gonilniki, ki niso digitalno podpisani ali čigar podpisa trenutni pravilniki ne sprejemajo več (na primer pri poskusu uporabe starejše strojne opreme v novejših sistemih). V teh primerih Windows blokira namestitev ali prikaže ponavljajoča se opozorila, zaradi česar je treba nadaljevati z uporabo naprednejših rešitev.

Metode za namestitev nepodpisanih gonilnikov (in njihova tveganja)

Obstaja več načinov za namestitev gonilnikov, ki niso skladni s pravilniki podpisovanja, vendar je pomembno upoštevati, da Vsaka metoda vključuje drugačno stopnjo tveganjaZačasna prilagoditev, ki se po ponovnem zagonu razveljavi, ni enaka popolni onemogočitvi preverjanj integritete.

Pogosto uporabljena metoda je Zagon sistema Windows z začasno onemogočanjem obvezne uporabe podpisanih gonilnikovTo storite tako, da znova zaženete računalnik z dostopom do naprednih možnosti (na primer v meniju Start tako, da pritisnete tipko Shift in kliknete Ponovni zagon), pojdite na Odpravljanje težav > Napredne možnosti > Nastavitve zagona in izberite možnost »Onemogoči uveljavljanje podpisa gonilnika«. Sistem se bo nato zagnal brez zahteve po podpisih, kar vam bo omogočilo namestitev gonilnika. Po ponovnem zagonu se bo zaščita samodejno znova uporabila.

Druga možnost, na voljo samo v Windows 10/11 Pro in novejše izdajeTo storite z urejevalnikom skupinskih pravilnikov (gpedit.msc). V razdelku Konfiguracija uporabnika > Skrbniške predloge > Sistem > Namestitev gonilnikov lahko uredite pravilnik »Podpisovanje kode za gonilnike naprav« in ga nastavite na Onemogočeno. Po ponovnem zagonu bo Windows veliko bolj popustljiv do nepodpisanih gonilnikov ali gonilnikov z vprašljivimi podpisi.

Za scenarije testiranja in razvoja obstaja tako imenovani Preskusni način Preskusni način sistema Windows se aktivira iz skrbniške konzole z zagonom ukaza bcdedit in omogoča nalaganje gonilnikov, podpisanih s testnimi potrdili, ne da bi jih bilo treba prenesti skozi javno infrastrukturo. V tem načinu se na namizju običajno prikaže vodni žig, ki označuje, da je sistem v testnem načinu.

Končno je tu še najbolj ekstremna možnost: popolnoma onemogočite preverjanje integritete gonilnikov z uporabo bcdedit.exe (parameter nointegritychecks). Zaradi tega je sistem popolnoma ranljiv za namestitev katerega koli gonilnika, legitimnega ali ne, in ga je treba uporabljati le v zelo specifičnih primerih in s popolnim poznavanjem tega, kaj se dogaja.

Resnične nevarnosti onemogočanja podpisovanja voznikov

Onemogočanje te zaščite ni le manjša nevšečnost, temveč odpira vrata do Ena najtežje zaznavnih groženj: rootkiti na ravni gonilnikovTi so nameščeni, kot da bi bili legitimni gonilniki, vendar imajo po nalaganju sistemska dovoljenja in možnost spremljanja ali manipuliranja sistema na zelo nizki ravni.

Takšen rootkit lahko prestreže internetni promet, vstavi lažna potrdila, preusmeri povezave na spletna mesta, ki jih nadzoruje napadalec, blokira namestitev protivirusnega programa in olajša vstop druge zlonamerne programske opreme. Vse to je mogoče storiti praktično brez vidne sledi za uporabnika in celo za številne tradicionalne varnostne rešitve.

Ker delujejo z najvišjimi privilegiji, so ti zlonamerni gonilniki praktično nevidno in težko odstranljivoV mnogih primerih je edina realna rešitev formatu celoten računalnik in začeti od začetka, kar predstavlja znatno izgubo časa in podatkov, če ni posodobljenih varnostnih kopij.

Zato je pametno biti sumničav, ko vas aplikacija pozove, da onemogočite uveljavljanje podpisa gonilnika, da bi namestila »nekaj čarobnega«. Kadar koli je mogoče, je bolje, da ... poiščite alternative ali podpisane različicetudi če to pomeni, da se je treba odpovedati določeni zastareli strojni opremi ali specifičnim funkcijam.

Gonilniki za Windows v primerjavi z gonilniki proizvajalca

Pri nameščanju perifernih naprav in komponent Windows običajno ponudi generični gonilniki Ti vam omogočajo osnovno uporabo strojne opreme. Večfunkcijski tiskalnik lahko na primer brez težav tiska z generičnim gonilnikom, če pa želite skenirati, uporabljati samodejni podajalnik dokumentov ali dostopati do naprednih možnosti, boste skoraj zagotovo potrebovali uradni paket gonilnikov proizvajalca.

Enako velja za zvočne kartice, grafične kartice in druge kompleksne naprave: z generičnimi gonilniki bo računalnik deloval, vendar boste izgubili funkcije, optimizacije delovanja ali napredna orodja za konfiguracijo. V mnogih primerih te funkcije ponujajo tudi uradni gonilniki. popravki specifičnih napak ki nikoli ne dosežejo Microsoftovih generičnih gonilnikov.

Ustrezno mesto za prenos teh gonilnikov je vedno uradna spletna stran proizvajalca strojne opremeKo iščete v Googlu, boste pogosto najprej videli strani tretjih oseb, polne sumljivih "prenaševalcev gonilnikov" ali namestitvenih programov. Če povezava ni iz domene proizvajalca, jo je najbolje prezreti.

Če podpisovanje gonilnikov ostane omogočeno, bo Windows blokiral številne od teh dvomljivih paketov, ko bo zaznal, da gre za neveljavno programsko opremo ali da podpisi niso v redu. To deluje kot dodatna plast zaščite pred nerodnimi ali popolnoma zlonamernimi namestitvenimi programi.

Praktični primer: Napaka pri podpisovanju potrdila z gonilniki grafične kartice v sistemu Windows 7

Na računalnikih s starejšimi sistemi, kot je npr. Windows 7 64-bitniPri nameščanju sodobnih gonilnikov za grafične kartice ali drugo novejšo strojno opremo se relativno pogosto pojavijo težave. Tipičen primer je napaka »Potrdila za podpis niso nameščena. Namestite zahtevana potrdila« pri poskusu namestitve gonilnikov za Nvidia za grafične procesorje, kot sta GTX 1060 ali GTX 950.

V mnogih primerih, tudi če uporabnik onemogoči podpisovanje gonilnikov ob zagonu, gonilnik po ponovnem zagonu ne deluje več, ker je pravilnik podpisovanja ponovno omogočen. Rešitve, kot so namestitev vseh prejšnjih različic gonilnika, uporaba alternativnih namestitvenih programov (kot je Snappy Driver Installer), uporaba posodobitev s podporo za SHA-2 (kot je KB3033929) ali ponovna namestitev iz Upravitelja naprav, so bile preizkušene brez uspeha.

Ena praktična rešitev, ki se je izkazala za učinkovito, je ročno ekstrahiranje vsebine namestitvene različice 474.11 (najnovejši gonilnik WHQL za Windows 7) v mapo in v Upravitelju naprav posodobite gonilnik grafične kartice tako, da izberete možnost iskanja gonilnika v računalniku in določite to mapo. Ista metoda lahko ne uspe pri novejših različicah, kot je 474.14, če čarovnik ne prepozna datotek INF kot veljavnih za ta sistem.

Ta vrsta primera ponazarja, kako občutljivo je ravnovesje med nedavni gonilniki, potrdila SHA-2 in OS ni več podprtoVedno težje je namestiti – in ohraniti varnost – sodobnih gonilnikov na starejših platformah, ki ne prejemajo posodobitev ali varnostnih popravkov.

Kako odkriti in odpraviti težave z okvarjenimi gonilniki

Tudi če so gonilniki pravilno podpisani, lahko poškodovati se ali postati nedosleden Do tega lahko pride iz več razlogov: konflikti z drugimi programi, zlonamerna programska oprema, prekinjene namestitve, posodobitve sistema Windows, ki se ne dokončajo uspešno itd. Ko se to zgodi, prizadeta naprava običajno preneha delovati ali deluje nepravilno.

Prvo diagnostično orodje je Upravitelj napravZ desnim klikom na gumb Start in izbiro ustrezne možnosti se odpre celoten seznam vse zaznane strojne opreme. Če ima naprava težave z gonilnikom, bo označena z rumeno ikono opozorila.

V teh primerih je prvi poskus rešitve, da z desno tipko miške kliknete napravo, izberete »Posodobi gonilnik« in pustite, da Windows poišče primernejši gonilnik, bodisi lokalno bodisi prek storitve Windows Update. Če to ne deluje, lahko napravo odstranite (z ohranitvijo programske opreme gonilnika ali ne) in jo znova zaženete, da jo bo Windows poskušal znova namestiti od začetka.

Poleg tega Windows vključuje orodje za odpravljanje težav s strojno opremo in napravami V plošči z nastavitvami, natančneje v razdelku »Posodobitev in varnost« > »Odpravljanje težav«, ta čarovnik pregleda sistem za nepravilnosti in predlaga avtomatizirana dejanja za obnovitev delovanja določenih gonilnikov.

Če je težavo povzročila določena posodobitev gonilnika, je morda koristno uporabiti možnost "Vrnitev na prejšnji krmilnik" Na zavihku »Gonilnik« v lastnostih naprave, če Windows ohrani prejšnjo različico. To razveljavi problematično namestitev in lahko povrne stabilnost sistema.

Ogled in analiza gonilnikov drugih proizvajalcev, nameščenih v sistemu Windows

Za večji nadzor nad tem, kaj je nameščeno v sistemu, so na voljo orodja drugih proizvajalcev, kot so driverview Nirsoftovo orodje prikaže podroben seznam vseh gonilnikov, nameščenih v vašem računalniku. Gre za brezplačen, prenosljiv pripomoček, ki močno poenostavi pregled gonilnikov.

DriverView uporablja zelo preprosto barvno kodo: Microsoftovi gonilniki z veljavnim digitalnim podpisom so prikazani z belim ozadjem.Gonilniki drugih proizvajalcev (od proizvajalcev ali dodatne programske opreme) so označeni z rdečo barvo. To pomaga hitro prepoznati, kateri deli sestavljanke niso neposredno odvisni od operacijskega sistema.

Seznam je mogoče razvrstiti po stolpcih, na primer po »Podjetje«, da združite vse gonilnike istega podjetja. Poleg tega meni Pogled običajno vključuje možnost skrivanja vseh Microsoftovih gonilnikov in prikaza samo gonilnikov drugih proizvajalcev, kar vam omogoča, da se osredotočite na tiste, ki najverjetneje povzročajo konflikte.

Z dvojnim klikom na kateri koli vnos se odpre okno z podrobne informacije o voznikuRazličica, celotna pot, opis, proizvajalec, datum nalaganja itd. V primeru neznanih ali sumljivih gonilnikov ti podatki pomagajo ugotoviti, ali so del programa, ki ga dejansko uporabljamo, ali pa je priporočljivo, da jih podrobneje raziščemo in celo odstranimo.

Glede na celotno sliko je jasno, da podpisi in potrdila gonilnikov v sistemu Windows Niso zgolj formalnost, temveč temeljna komponenta za ohranjanje stabilnosti in varnosti sistema. Razumevanje, kako so gonilniki podpisani, katere zahteve se spreminjajo med različicami sistema Windows, katera orodja obstajajo za preverjanje veljavnosti in kako ukrepati, ko gonilnik ni podpisan ali odpove, nam omogoča, da kar najbolje izkoristimo našo strojno opremo, hkrati pa ostanemo pozorni na zelo nizke grožnje.