Заметки о Windows и других программных продуктах Microsoft...

Цифровые подписи в Windows 7

Цифровые подписи в Windows 7

Цифровая подпись — это электронная метка, которая может добавляться к файлам в целях безопасности. Она позволяет идентифицировать издателя файла (подлинность файла) и определить, не подвергался ли файл изменениям (целостность файла).

Цифровые подписи обычно  используются производителями оборудования для подписывания драйверов устройств. Драйвер, имеющий цифровую подпись – это драйвер, который опубликован доверенным издателем и протестирован на предмет совместимости с операционной системой, установленной на компьютере.

Если файл содержит некорректную цифровую подпись (или ее нет совсем), то это может означать, что данный файл опубликован ненадежным издателем или был изменен (например, заражен вирусом). Наличие корректной цифровой подписи не всегда гарантирует отсутствие вредоносного кода, а ее отсутствие не обязательно несет угрозу безопасности системы, но все же следует настороженно относиться к файлам с некорректной или отсутствующей подписью.

Проверка цифровой подписи

В Windows 7 для проверки цифровой подписи есть специальная утилита sigverif.exe. Для ее запуска нужно в поисковой строке меню Пуск набрать sigverif.exe и нажать Ввод

запуск sigverif.exe

 

В окне программы жмем Начать и она автоматически проверяет системные файлы на наличие подписей.

проверка цифровых подписей

 

Результат проверки сохраняется в текстовый файл sigverif.txt. Хранится он в папке Общие документы, также его можно посмотреть прямо из окна программы, щелкнув по кнопке  Дополнительно.

Отключение проверки цифровой подписи

В Windows 7 требования к устанавливаемым драйверам существенно ужесточены, и любой устанавливаемый драйвер должен иметь цифровую подпись, проверенную и сертифицированную Microsoft. Перед загрузкой и установкой драйвера устройства Windows проверит его цифровую подпись, и если драйвер не подписан, выдаст предупреждение

ошибка подписи драйвера

 

Можно это предупреждение проигнорировать и установить драйвер, однако работать он не будет все равно. При установке неподписанного драйвера в диспетчере устройств данное устройство будет помечено восклицательным знаком и содержать сообщение об ошибке.

Политика проверки цифровой подписи драйверов призвана улучшить надежность и стабильность операционной системы, но иногда возникает необходимость установить неподписанный драйвер. К счастью, в Windows 7 можно отключить проверку цифровой подписи. Для этого есть несколько способов:

Отключить поверку цифровой подписи драйверов при загрузке через загрузочное меню. Для этого при загрузке ОС жмем клавишу F8. Для загрузки без проверки цифровых подписей нужно выбрать пункт «Отключение обязательной проверки подписи драйверов»

загрузочное меню

 

Дальше можно загружаться и устанавливать необходимые драйвера. Однако данный режим предназначен исключительно для тестирования и при следующей загрузке в обычном режиме установленный драйвер работать не будет.

Для постоянной загрузки в тестовом режиме можно воспользоваться утилитой командной строки bcdedit. Для этого открываем командную строку с правами администратора

запуск командной строки с правами администратора

 

И последовательно вводим 2 команды:

bcdedit -set loadoptions DDISABLED_INTEGRITY_CHECKS

bcdedit  -set TESTSIGNING ON

включение режима без проверки цифровой подписи драйверов

 

После выполнения каждой команды должно появиться сообщение об успешном выполнении.  Теперь можно перезагрузить компьютер и установить необходимые драйвера.

Для отключения тестового режима нужно ввести в командной строке команды:

bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS

bsdedit -set loadoptions TESTSIGNING ON

Важно: если выдается сообщение о том, что команда неизвестна, то вместо дефиса (-) ключи можно писать через слеш (/).

Ну и наконец можно просто отключить проверку цифровых  подписей драйверов  через групповую политику. Для запуска оснастки групповой политики вводим в меню Пуск в строке поиска команду gpedit.msc и жмем Ввод. В меню политик идем в Конфигурация пользователя\Административные шаблоны\Система\Установка драйверов  и выбираем политику «Цифровая подпись драйверов устройств».

Отключение проверки цифровой подписи драйверов

 

В появившемся окне включаем политику и указываем параметр Пропустить в качестве действия системы при обнаружении неподписанных драйверов.

Настройка политик проверки цифровой подписи

 

После перезагрузки политика применится и можно будет загружать и устанавливать любые, в том числе и неподписанные драйвера.

 
 
Комментарии

ОС win7*64
Первый вариант (по F8) не устраивает хотя и работат драйвер, второй пишит
с:\windows\system32>bcdedit -set loadoptions DDISABLED_INTEGRITY_CHECKS
«Не удается открыть данные конфигурации загрузки.
Не удается найти указанный файл.»
Хотя сам файл bcdedit.exe присутствует.
Третий вариант отключен (как у вас в инструкции и просто отключал)—-ни чего не помагает.
Что делать? драйвер нужно установить — у проиводителя на старое оборудование дров нет.

Указанная ошибка значит, что bcdedit не может получить доступ к системному разделу, в котором храниться загрузчик Windows. Можно попробовать переподключить повторно все разделы:
Пуск — cmd — Запуск от имени администратора. В командной строке выполнить команду mountvol /E. Перезагрузить компьютер.

с:\windows\system32>bcdedit.exe -set loadoptions DDISABLED_INTEGRITY_CHECKS
Указана неизвестная команда

Немного изменил команду и всё заработало:
с:\windows\system32>bcdedit /set loadoptions DDISABLED_INTEGRITY_CHECKS

Вообще должно работать и так и так, хотя правильней действительно через слеш.

Семен

Win7 x64

Тут работает только единственный вариант — загрузка по F8.
Иначе ни один неподписанный драйвер не будет работать…

Даже при отключении через групповую политику не драйвер работает. Не могу разобраться уже целый день.

Загрузка по F8 работает всегда. Остальные способы 100% гарантии не дают, особенно в 64-битной семерке.

Третий вариант для семерки не подходит. Там же написано. Непонятно зачем вообще этот «аппендикс» оставили в семерке…

binary_digit

Можно подписать самому драйвер

Можно одной командой включить тестовый режим и драйвер подписать тестовым сертификатом.
Для тестового режима — можно утилиту использовать
http://cadshop.ru/?p=187

Команды bcdedit.exe прошли. После перезагрузки Winndows 7 64 загрузилась в тестовом режиме, т.е справа, внизу появилась надпись , мол Винда работает в тестовом режиме. В принципе надпись не очень мешает. Да, дрова звуковухи ( не родные) сразу встали без проблем.На сайт Виндовом указано, что » Корпорация Майкрософт добавила тестовый режим в Windows, чтобы пользователи могли тестировать программы без сертификата проверки подлинности.» Да… и о нас позаботились мелкомягкие.

Автор в двух строках сделал три ошибки, из-за которых не отключался тестовый режим

Неправильно:
Для отключения тестового режима нужно ввести в командной строке команды:
bcdedit -set loadoption ENABLE_INTEGRITY_CHECKS
bsdedit -set loadoption TESTSIGNING ON

Правильно:
bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS
bcdedit -set loadoptions TESTSIGNING ON

Иправьте, пожалуйста

Спасибо.
Исправил.

Игорь

Для отключения тестового режима нужно ввести в командной строке команды:
bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS
bcdedit -set TESTSIGNING OFF

Вован

у меня все получилось через командную строку