Отключение проверки цифровой подписи драйверов в Windows 10

Как отключить проверку цифровой подписи драйверов в Windows 10 при загрузке, а также навсегда. Пошаговое описание трех способов отключения и видео инструкция.

Как отключить проверку подписи драйверов в ОС Windows

Как отключить проверку подписи драйверов в Windows 10:

  1. Нажмите на меню “Пуск”
  2. Выберите “Выключение”
  3. Нажмите не “Перезагрузка” с зажатой клавишей Shift, компьютер перезагрузится в режим диагностики
  4. Диагностика (Поиск и устранение неисправностей для компьютеров с OS Windows 10)
  5. Дополнительные параметры
  6. Параметры загрузки
  7. Перезагрузка
  8. Чтобы отключить проверку подписи драйвера в Windows, нужно нажать клавишу F7 (“Отключить обязательную проверку подписи драйверов”) и дождаться полной загрузки системы

отключить проверку подписи драйверов

Все драйвера будут устанавливаться только до перезагрузки. А каким способом отключаете проверку подписи драйверов вы? Напишите в комментариях!

Для чего это нужно

В целях безопасности на свой компьютер разрешается устанавливать только те драйверы, которые имеют электронную подпись. Такая мера защиты призвана обезопасить ОС от проникновения вирусов и установки кустарных ПО, способных вызвать некорректную работу устройства.

screenshot_1

Однако бывает, что после скачивания очередного обновления перестают работать сервисы, компоненты ОС, потому что их драйверы не имеют специального разрешения — цифровой подписи. Система сообщает об ошибке («Невозможно установить ПО для данного устройства», «Отсутствие подписи», «Система не может проверить производителя программы»). Причина проблемы: ОС не разрешает добавлять неподписанные драйверы в свое хранилище. Система безопасности может сигнализировать об ошибке и при попытке подключить сторонний сканер (принтер) или установить на ПК скачанное из интернета приложение.

Когда у исполняемого файла отсутствует допустимая подпись, разрешается в настройках ПК деактивировать саму проверку подписки. После деактивации появится возможность установить новую версию Вин 10 и скачать любое приложение или конкретный драйвер из просторов интернета. Разрешается обратиться к производителю программного продукта и попросить предоставить подписанный исполняемый файл.

screenshot_2

Инструкция: подписывание драйверов для Windows 10 (EV)

Эта статья — быстрый онлайн-помощник для тех, кто переходит на новое
подписывание драйверов в Windows 10 (EV, WHDC-портал). Здесь я постараюсь
дать основные рекомендации, чтобы помочь избежать глупых ошибок и, не
теряя времени, скорее адаптировать свои проекты под новые требования.

Для того, чтобы начать подписывать драйверы по-новому, вам потребуется:

* EV-сертификат, приобретенный у Symantec, DigiCert, GlobalSign, WoSign
или Entrust. В тот момент, когда пишутся эти строки, поддерживаются только
сертификаты, приобретенные в перечисленных выше организациях. В будущем список,
вероятно, будет дополняться.

По тексту ниже подразумевается, что сертификат уже установлен на вашем компьютере.

* Аккаунт на Microsoft (LiveID). Регистрация там бесплатная и занимает несколько минут.

* Утилита signtool с поддержкой SHA256. Утилиту лучше взять из последних версий WDK
(8 и выше), так как старые версии не поддерживают SHA256 и некоторые другие возможности,
которые вам потребуются.

* Несколько часов свободного времени.

Первое, что вам нужно сделать — зарегистрировать свою компанию на портале WHDC.
Идем сюда:

жмем ‘Dashboard’ и логинимся в свой аккаунт Microsoft.

Далее вам будет предложено скачать файл winqual.exe, подписать его своим сертификатом и
загрузить обратно. Так портал определяет валидность сертификата, а также сможет сопоставить
цифровую подпись с вашей компанией, если это будет необходимо. Команда подписи для
signtool.exe затруднений вызывать не должна:

Для вашего сертификата опции могут быть немного другие. Обратите внимание на ключи /fd и /td —
они указывают, что и для цифровой подписи, и для timestamp-сервера следует использовать
SHA256, а не SHA1. EV-сертификаты используют только SHA2. Также обратите внимание,
что здесь и далее больше не будут использоваться никакие кросс-сертификаты (ключ /ac),
так как для ‘attestation signing’ (подписывание драйверов через веб-портал) это не требуется.

Точно такой же командой вы будете подписывать submission (архив с файлами для подписи).

Подписав и загрузив winqual.exe, вы попадете на страницу, где вам предложат указать
сведения о компании — название, юридический адрес, почтовый индекс, телефон, e-mail.
Судя по всему, эта информация не проверяется и нужна только «для галочки».
Но указывать откровенно «липовые» данные, разумеется, не стоит.

Вот и все, теперь вы успешно зарегистрированы на веб-портале WHDC.
Осталось немного — дать нужные разрешения (permissions), а также подписать несколько
соглашений, которые предлагает вам Microsoft (по поводу Anti-Malware, DRM и остальные в
таком же духе, всего штук 10). Я не буду подробно описывать нужные шаги, т.к. они
достаточно очевидны.

После этого вам необходимо перелогиниться на веб-портале (выйти и зайти снова), чтобы
изменения вступили в силу.

Сначала вам нужно создать cab-архив с файлами для подписи внутри.
Если пакет драйверов только один, cab-файл должен иметь такую структуру:

Я сразу советую проверять, валиден ли ваш INF-файл, используя утилиту inf2cat из WDK.
Например:

Файл cat, который сгенерировала утилита inf2cat.exe, в архив класть не нужно,
он все равно будет проигнорирован и портал при подписи создаст новый.

Важный момент: все пакеты драйверов в архиве должны быть под какую-то одну
архитектуру — или x64, или x86. На MSDN пишут, что Driver Package может
быть под обе архитектуры, но как правильно их упаковать в cab-архив — я
так и не понял. Попытки добавить еще один уровень в дереве папок внутри
архива (32/64, x86/x64, i386/amd64) успехом не увенчались.
Видимо, самый простой путь — делать две submission, одну чисто под x64,
вторую чисто под x86.

Когда cab-архив будет готов, вам нужно подписать его своим сертификатом.

Далее на веб-портале идем в раздел ‘File signing services’ и выбираем
пункт ‘Create driver signing submission’. После этого все очень просто:
вы указываете название своей submission (произвольное, это нужно только
для информативных целей), является ли ваш драйвер универсальным (см. концепцию
‘Universal Driver’ в MSDN), а также платформы, под которые собран драйвер,
их в настоящий момент четыре:

Microsoft Windows 10 AU Client family, x86
Microsoft Windows 10 AU Client family, x64
Microsoft Windows 10 Client family, x86
Microsoft Windows 10 Client family, x64

C x64/x86 все понятно, а вот разницу между Client и AU Client я не нашел —
подпись в конечном итоге получается одинаковая.

После этого вы загружаете свой cab-архив и жмете ‘Submit’. Все.

Обработка submission (процесс называется review) занимает некоторое время, у
меня было где-то около 15 минут, иногда может затянуться, как пишут, на
часы или даже сутки. Но обычно слишком долгий процесс обработки submission —
признак того, что что-то пошло не так и процесс будет завершен с ошибкой.

По завершении вам придет письмо на почту и архив с подписанными файлами можно
будет скачать там же, на веб-портале.

Кстати, можно запостить сразу несколько submission — они обрабатываются
параллельно и в некоторых случаях можно сэкономить немного времени.

В сведениях о цифровой подписи файлов, которые вам вернет портал, вы с удивлением
(а кто-то, возможно, и с радостью) обнаружите, что вместо ‘OOO Vasya Pupkin’ будет
вписано безликое и ужасное ‘Microsoft Windows Hardware Compatibility Publisher’.

Теперь драйвер можно ставить и запускать на Windows 10 — 1607 и никакие
Secure Boot, Device Guard и т.п. не помеха.

Теперь вопросы чисто практического плана.

Q: Как быть с предыдущими версиями Windows (Vista, Windows 7, Windows 8, Windows 8.1)?

A: К сожалению, здесь без вариантов: либо вам придется купить еще один сертификат SHA1 и
использовать его, либо попробуйте пройти HLK-тесты через веб-портал и тогда получите
подпись, которую понимают все указанные выше версии Windows.

Прохождение HLK-тестов — достаточно большой и серьезный «квест», затрагивать эту
тему здесь я не буду.

Q: Как быть с Windows Server 2016 (vNext)? Его ведь нету в списке при отправке
submission на веб-портале.

A: Для Windows Server 2016 прохождение HLK-тестов для драйвера — единственный
легальный способ поддержки, другие типы цифровых подписей система принимать
не будет. Так что ждите через некоторое время очередную статью от меня про HLK.

Q: Как обстоят дела с двойными сигнатурами?

A: Портал добавляет свою подпись, не затирая старую. Поэтому можно, например,
подписать .sys-файл сначала стандартным сертификатом с SHA1 старым способом с
кросс-сертификатом (cross-signing), а затем отправить его на веб-портал, где
ему будет добавлена вторая подпись SHA256 для Windows 10 (attestation signing).
Такой драйвер сможет запускаться на любых версиях Windows.

Однако в случае с cat-файлами это не сработает, потому что, как уже писалось выше,
портал генерирует свой cat-файл, игнорируя тот, что лежит внутри cab-архива.

Поэтому, если ваш драйвер ставится через INF-файл и вы хотите поддерживать
максимально возможный диапазон версий Windows, придется иметь несколько
пакетов драйвера, один для систем до Windows 10, второй для Windows 10 и выше.

Q: Что делать с модулями, которые собираются с ключом /INTEGRITYCHECK и,
согласно MSDN, должны подписываться с опцией /ph (generate page hashes)?
Например, драйвер, использующий Object Callbacks (ObRegisterCallbacks)?

A: Ничего не нужно. Система подписывания остается такой же, как и для
остальных драйверов Windows 10.

Q: EV-сертификат поставляется на USB-токене, это секьюрно, но неудобно.
У нас разработчики географически удалены друг от друга, а подписывать,
получается, может только один?

A: К сожалению, здесь действительно есть ряд неудобств.
Например, токен SafeNet не работает нормально в RDP-сессии и время
от времени начинает требовать ввод пароля (PIN).

Для решения этой проблемы можно настроить параметры, как написано здесь:

А также воспользоваться приведенным кодом и утилитой RemoteSignTool
(обертка над signtool.exe, работающая через интернет).

В настоящее время ведутся дебаты о том, чтобы оставить EV только для регистрации
на веб-портале, а для подписи submission использовать «обычные» сертификаты
(т.е. без USB-токенов и тому подобного):

Что такое цифровая подпись драйверов на Windows 10 и для чего она нужна

ЦП – специальный реквизит электронного документа или метка, зашитая в программу. Она позволяет однозначно идентифицировать владельца. Когда речь идет о драйверах, ее главное назначение – определять, является ли он лицензионным и не вносились ли в него какие-либо изменения.
Цифровая подпись используется не только для борьбы с пиратством в ИТ, но и для защиты пользователей от взлома, атак и прочих неприятностей, связанных с цифровым окружением. Разработчики Windows 10 предусмотрительно встроили в ОС автоматический анализ всего скачиваемого и устанавливаемого контента.

Как отключить проверку цифровой подписи драйверов

Как отключить проверку цифровой подписи драйверов в Windows 10:

  1. Откройте пуск, введите gpedit.msc и откройте предложенную программу
  2. Открылось окно настроек, оно разделено на две части, в левой части выберите:
    • Конфигурация пользователя
    • Административные шаблоны
    • Система
    • Установка драйвера
  3. Дважды нажмите в правой части окна “Цифровая подпись драйвера устройств”отключить проверку цифровой подписи
  4. Выберите “Отключить” (в верхней части окна) – все драйвера без цифровой подписи будут устанавливаться
  5. Нажмите “Применить” и закройте окно
  6. Перезагрузите компьютер

После этого вы сможете устанавливать любые драйверы на свой компьютер.

Возникли вопросы и вы не смогли отключить проверку цифровой подписи? Пишите в комментарии!

Отключение проверки подписи драйвера на один раз

Система встроенной безопасности Виндовс не разрешает устанавливать исполняемый файл без специальной разрешительной метки. Однако можно попробовать деактивировать функцию защиты.

Как самостоятельно установить на ПК файл без разрешительной метки:

  • активировать консоль Параметры;

screenshot_4

  • перейти в подпункт «Обновление и безопасность»;

screenshot_5

  • отыскать «Защитник Windows» и самостоятельно отключить «Защиту в реальном времени»;

screenshot_6

  • найти «Журнал Защитника»;

screenshot_7

  • отыскать исполняемый файл без подписки, отправленный на карантин, и «Восстановить» его.

screenshot_8

Метод разового выключения через «Выбор действия»:

  • отправиться в окошко выключения ПК;

screenshot_9

  • выбрать «Перезагрузка» и одновременно нажать на кнопку «Shift»;

screenshot_10

  • ПК перезапустится;
  • всплывет окошко «Выбор действия»;
  • активировать подпункт «Поиск…неисправностей»;

screenshot_11

  • отыскать подпункт «Параметры загрузки»;

screenshot_12

  • активировать строчку «Отключить…проверку подписи драйверов».

screenshot_13

Отключение проверки подписи драйверов в Windows 10

Отключение проверки подписи драйверов в Windows 10 можно сделать через командную строку. Отключение обязательной проверки подписи драйверов:

  1. Откройте командную строку от имени администратора
  2. Введите bcdedit.exe -set loadoption DISABLE_INTEGRITY_CHECK
  3. Нажмите Enter
  4. Введите bcdedit.exe -set TESTSIGNING ON
  5. Нажмите Enterотключение проверки подписи драйверов
  6. Перезагрузите ПК
  7. Установите драйвер без подписи
  8. Откройте командную строку от имени администратора  и введите bcdedit.exe -set TESTSIGNING -OFF
  9. Снова перезагрузите компьютер
  10. Готово! У вас получилось отключение проверки подписи драйверов в Windows

Предупреждение

Перед тем как начать процедуру, о которой мы расскажем в данной статье, абсолютно точно определитесь и решите – а оно вам действительно надо? Вы абсолютно уверены, что и зачем собираетесь делать? Ведь если в Windows 7 отключить проверку цифровой подписи драйверов, безопасность вашей системы подвергается опасности.

С одной стороны, нет никаких проблем, если данную операцию необходимо провести для установки драйверов из надежного источника. Например, с лицензионного диска, а не купленного на рынке в ларьке. С другой же стороны, скачиваемые из интернета приложения с непроверенных сайтов и обменников. Скачав драйвер (приложение) в таком месте и отключив защиту, вы можете самостоятельно заразить ваш компьютер шпионом, который будет собирать данные, красть пароли или может даже подключить компьютер к сети для DDoS атак. В общем, решайте сами, насколько вам необходимо отключить проверку цифровой подписи драйверов Windows 7 (32 бита).

Как отключить проверку цифровой подписи драйверов в Windows 10

driver-digital-sign-check-windows-10.pngВ этой инструкции — три способа отключить проверку цифровой подписи драйвера в Windows 10: один из них работает однократно при загрузке системы, два других отключают проверку подписи драйверов навсегда, но не всегда. Это может пригодиться в тех случаях, когда драйвер не устанавливается, а ОС сообщает, что INF стороннего производителя не содержит информации о подписи или о других проблемах подписи, приводящих к ошибке при установке устройства.

Надеюсь, вы знаете, зачем вам потребовалось отключать эту функцию, потому как такие изменения настроек Windows 10 могут привести к повышению уязвимости системы перед вредоносным ПО. Возможно, существуют иные способы установить драйвер вашего устройства (либо другой драйвер), без отключения проверки цифровой подписи и, если такой способ имеется, лучше воспользоваться им. Если вы хотите серьезно подойти к вопросу, то можно также самостоятельно подписать драйвер цифровой подписью (не для начинающих).

Установка драйверов без подписи в Windows 10

Установка драйверов без подписи драйверов в Windows 10 невозможна без отключения проверки подписи драйверов. Сделать это можно несколькими способами (выберите для себя удобный). Как установить драйвер без подписки в Windows 10:

  1. Отключите обязательную проверку подписи
  2. Установите необходимый драйвер без подписи
  3. Включите проверку подписи драйверов
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: