Недавно установленная программа попыталась установить неподписанный драйвер Windows 7 x64

В Windows 7 существенно ужесточились требования к установке драйверов. Операционная система, особенно её 64-разрядная версия, безжалостно блокирует любые попытки инсталляции драйвера, при отсутствии цифровой подписи. Иногда это серьёзно мешает.

Конечно, можно проигнорировать вопли системы безопасности Windows и установить неподписанный драйвер, ответив что вы доверяете этому издателю, однако, несмотря на то, что в операционной системе нужный драйвер и будет установлен, работать устройство всё равно не сможет.

В диспетчере устройств оно будет помечено восклицательным знаком и содержать следующее сообщение об ошибке:

Не удается проверить цифровую подпись драйверов, необходимых для данного устройства. При последнем изменении оборудования или программного обеспечения могла быть произведена установка неправильно подписанного или поврежденного файла либо вредоносной программы неизвестного происхождения. (Код 52)

Подобная проблема вылезла при установке свежей версии OpenVPN 2.4.9 на 64-битную Windows 7, вернее на самой программы, а виртуальной сетевого интерфейса TAP-Windows Adapter V9 (версия 9.24.2).

Отключение проверки цифровой подписи драйверов в Windows 7/8/10 (32bit/64bit)…

VPN-туннели я использую постоянно и ставил их десятки раз на разные операционные системы. Как правило, всё проходило успешно с первого раза либо проблема решалась довольно быстро. в этот раз быстро не получилось, так как «винда» упорно не принимала адаптер.

[ Спойлер ] На самом деле, проблема решается очень просто, если вы не гонитесь за последними версиями программ. Просто ставим OpenVPN версии 2.4.6, без всяких танцев с бубном, и радуемся (тут в составе дистрибутива идёт подписанная версия драйвера TAP-Windows 9.21.2)

Отключение проверки цифровой подписи драйверов в Windows 7 с помощью команды bcdedit

Я предпочёл пойти простым путём, но можно попробовать отключить проверку цифровой подписи драйверов. Для этого запускаем командную строку с правами администратора и последовательно набираем следующие две команды:

bcdedit.exe /set loadoptions DISABLE_INTEGRITY_CHECKS
bcdedit.exe /set TESTSIGNING ON

Выполнение каждой команды сопровождается сообщением о том, что команда успешно выполнена. После чего перезагружаем компьютер и пробуем заново установить неподписанный драйвер.

Чтобы отменить данный режим работы и вновь включить проверку цифровой подписи в Windows 7, выполним следующие команды:

bcdedit.exe /set loadoptions ENABLE_INTEGRITY_CHECKS
bcdedit.exe /set TESTSIGNING OFF

Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Источник: dzen.ru

Устранение неполадок при установке подписывания драйверов

Установка драйвера с подписью выпуска аналогична установке , удалению и загрузке пакета драйвера Test-Signed в подписывание тестов, за исключением двух дополнительных шагов, необходимых при установке с помощью любого из описанных здесь методов.

Если подписыватель пакета драйвера еще не настроен в системе для доверия, может отображаться следующее диалоговое окно Безопасность Windows.

Если драйвер установлен снова или если драйвер удален по какой-либо причине, этот флажок снова не будет отображаться на компьютере.

Примечание Система проверяет, является ли информация издателя точной на основе SPC, которая использовалась для подписывания каталога. Если уровень доверия издателя неизвестен (как и для Contoso.com), система отображает диалоговое окно. Чтобы продолжить установку, пользователь должен нажать кнопку «Установить». Дополнительные сведения об установке доверия и драйвера см. в рекомендациях по подписи кода.

Неподписанный драйвер отобразит следующее диалоговое окно, позволяющее пользователю установить неподписанный драйвер (это может не работать в версии x64 Windows).

Убедитесь, что драйвер Release-Signed работает правильно

Используйте диспетчер устройств для просмотра свойств драйвера (описано ранее для драйвера, подписанного тестом). Ниже показан снимок экрана, показывающий, работает ли драйвер.

Устранение неполадок с драйверами Release-Signed

Ниже перечислены несколько распространенных способов устранения неполадок при загрузке подписанных или тестовых драйверов.

• Используйте диспетчер устройств, чтобы проверить, загружен ли драйвер и подписан, как описано в разделе «Проверка правильности работы драйвера Test-Signed при подписи теста».
• Откройте файл setupapi.dev.log, созданный в каталоге %windir%inf после установки драйвера. Перед установкой драйвера обратитесь к разделу о настройке записи реестра и переименовании файла setupapi.dev.log.
• Проверьте журнал аудита безопасности Windows и журналы событий целостности кода.

Анализ файла Setupapi.dev.log

Как описано ранее, все сведения об установке драйвера будут записаны (добавлены) в файл setupapi.dev.log в каталоге %windir%inf. При тестировании установки пакета драйверов при переименовании файла перед установкой драйвера будет создан новый файл журнала. Новый файл журнала будет проще искать важные журналы из новой установки драйвера. Однако файл журнала не следует переименовать в рамках рабочего сценария. Файл журнала можно открыть в любом программном обеспечении для редактирования текста.

В левом большинстве столбцов может быть один восклицательный знак «!» или несколько восклицательных знаков «. «. Один восклицательный знак является предупреждающим сообщением, но тройной восклицательный знак указывает на сбой.

При установке выпуска пакета драйверов, подписанного поставщиком ЦС, предоставленным сертификатом SPC, вы увидите следующий восклицательный знак. Это предупреждения о том, что файл cat еще не проверен.

! sig: Verifying file against specific (valid) catalog failed! (0x800b0109) ! sig: Error 0x800b0109: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. sig: Success: File is signed in Authenticode(tm) catalog. sig: Error 0xe0000242: The publisher of an Authenticode(tm) signed catalog has not yet been established as trusted.

Если нажать кнопку «Установить» в диалоговом окне, отображаемом, когда подписыватель еще не является доверенным на этом компьютере, вы увидите приведенный ниже журнал, что в большинстве случаев означает, что драйвер установит и загрузит его. Диспетчер устройств не сообщает об ошибках или желтом восклицательный знак для драйвера.

! sto: Driver package signer is unknown but user trusts the signer.

Если в файле журнала также отображается следующий журнал ошибок, драйвер может быть не загружен.

Файл setupapi.dev.log также сообщил о следующей ошибке:

. dvi: Device not started: Device has problem: 0x34: CM_PROB_UNSIGNED_DRIVER.

Обратите внимание, что 0x34 — код 52.

Чтобы устранить неполадки, просмотрите файл журнала и найдите восклицательные знаки рядом с двоичным файлом драйвера. signtool verify Выполните команду в файле cat и других внедренных двоичных файлах со знаком.

Обычно для устранения проблемы достаточно сведений о файле журнала. Если приведенные выше проверки не удается найти основную причину, проверьте журнал аудита безопасности Windows и журналы событий целостности кода, описанные в следующем разделе.

Использование журнала аудита Безопасность Windows

Если драйвер не удалось загрузить из-за отсутствия допустимой подписи, он будет записан как событие сбоя аудита. События сбоя аудита записываются в журнал безопасности Windows, указывая, что целостность кода не может проверить хэш образа файла драйвера. Записи журнала включают полное имя пути к файлу драйвера. События аудита журнала безопасности создаются только в том случае, если локальная политика аудита безопасности включает ведение журнала событий сбоя системы.

Примечание Журнал аудита безопасности должен быть явно включен. Дополнительные сведения см. в приложении 3. Включение ведения журнала событий целостности кода и системного аудита.

Чтобы изучить журнал безопасности, выполните следующие действия.

1. Откройте командное окно с повышенными привилегиями.
2. Чтобы запустить Windows Просмотр событий, выполните Eventvwr.exe. Просмотр событий также можно запустить из приложения управления компьютером панель управления.
3. Откройте журнал аудита безопасности Windows.
4. Проверьте журнал на наличие событий целостности системы с идентификатором события 5038.
5. Выберите и удерживайте (или щелкните правой кнопкой мыши) запись журнала и выберите «Свойства события», чтобы отобразить его диалоговое окно «Свойства события», в котором представлено подробное описание события.

На снимке экрана ниже показано диалоговое окно «Свойства события» для события журнала аудита безопасности, вызванного файлом без знака Toaster.sys.

Использование журнала операционных событий целостности кода

Если драйвер не удалось загрузить, так как он не был подписан или не создал ошибку проверки образа, целостность кода записывает события в журнале операционных событий целостности кода. Операционные события целостности кода всегда включены.

События целостности кода можно просматривать с помощью Просмотр событий.

Проверка операционного журнала целостности кода

1. Откройте командное окно с повышенными привилегиями.
2. Чтобы запустить Windows Просмотр событий, выполните Eventvwr.exe. Просмотр событий также можно запустить из приложения панель управления управления компьютерами.
3. Откройте журнал целостности кода Windows.
4. Выберите и удерживайте (или щелкните правой кнопкой мыши) запись журнала и выберите «Свойства события», чтобы отобразить его диалоговое окно «Свойства события», которое содержит подробное описание события.

На снимке экрана ниже показано диалоговое окно «Свойства события» для события журнала целостности кода, вызванного неподписанным файлом Toaster.sys.

Использование информационных событий в подробном журнале целостности кода

Подробное представление информационного журнала целостности кода отслеживает события для всех проверок проверки образа в режиме ядра. Эти события показывают успешную проверку образа всех драйверов, загруженных в систему.

Чтобы включить подробное представление целостности кода, выполните следующие действия.

1. Запустите Просмотр событий, как показано в предыдущем примере.
2. Selet the Code Integrity node to give it focus.
3. Выберите и удерживайте (или щелкните правой кнопкой мыши) целостность кода и выберите пункт «Вид» в контекстном меню.
4. Выберите «Показать журналы аналитики и отладки». При этом создается вложенное дерево с двумя дополнительными узлами: операционными и подробными.
5. Выберите и удерживайте (или щелкните правой кнопкой мыши) узел Verbose и выберите свойства в контекстном меню.
6. На вкладке «Общие» выберите «Включить ведение журнала», чтобы включить режим подробного ведения журнала.
7. Перезагрузите систему, чтобы перезагрузить все двоичные файлы в режиме ядра.
8. После перезагрузки откройте оснастку mmC Computer Management и просмотрите подробный журнал событий целостности кода.

В приложении 4 описаны некоторые дополнительные известные проблемы подписывания драйверов.

Источник: learn.microsoft.com

Отключаем проверку цифровой подписи драйвера в Windows 7

Установка драйверов значительно упрощается, если использовать специальные утилиты, способные автоматизировать все действия. Избавление от рутины – это хорошо, но при эксплуатации таких приложений они часто предлагают неподписанные драйверы. Вследствие этого операционная система выдаёт оповещение, что проверка цифровой подписи продукта не была пройдена, и запрашивает разрешение пользователя на инсталляцию такого ПО. Здесь всей автоматизации приходит конец, ведь нужно постоянно кликать «Все равно установить данный драйвер».

Избавиться от такого сообщения можно двумя способами:

• подписать проблемный драйвер;
• отключить проверку цифровых подписей для всех продуктов в системе.

Давайте рассмотрим, как отключить цифровую подпись драйверов в Windows 7, а в конце коснёмся и первого варианта.

Что такое подпись драйверов?

Под термином скрывается некая цифровая метка, идентификатор, по которому определяется версия продукта, проверяется его актуальность, подлинность, безопасность. Подпись указывает на отсутствие модификаций со стороны недоброжелателей (встраивание шпионских и прочих вредоносных модулей).
Если пытаетесь установить неподписанный драйвер, знайте, что ответственность за последствия его эксплуатации лежит исключительно на вас, а при его инсталляции нужно быть уверенным в надёжности источника загрузки.

В Win 7 существует несколько выходов из положения. Для всех случаев, кроме особого варианта запуска операционной системы, потребуются права администратора.

Особый вариант загрузки

Подойдёт, если нужно временно поработать с неподписанным программным обеспечением. Когда хотите запустить какой-либо эмулятор или протестировать устройство, у драйвера которых нет цифровой подписи, лучше выбрать следующий способ. Он заключается в запуске Windows 7 в одном из специальных режимов.

1. Перезагружаем компьютер и начинаем жать [knopka]F8[/knopka] между завершением самотестирования оборудования и моментом, когда начнётся загрузка ОС.
2. При помощи курсорного блока клавиш перемещаемся к варианту «Отключение обязательной проверки…».

1. Жмём [knopka]Enter[/knopka] для подтверждения действия.

Особенностью такого запуска ОС является то, что проверка подписи драйверов не будет производиться ровно до завершения текущего сеанса. При следующей загрузке компьютера в обычном режиме неподписанный драйвер работать не будет, и пользователь увидит оповещение, что его подлинность проверить не удалось или проверка не пройдена.

Командная строка

Если требуется постоянно работать с программным обеспечением, которое не имеет цифровой метки, отключите проверку подписи драйвера навсегда. Быстрее всего это делается при помощи командной строки.

Новичкам вряд ли известны команды, которые будут выполняться, и последствия их запуска. При отсутствии доверия лучше пройдите к одному из следующих разделов, где визуально показано, как разрешить установку неподписанных программ для управления работой периферии, или посмотрите видео на эту тему.

1. Открываем командную строку, выполнив «cmd» в окне интерпретатора команд (вызывается при помощи [knopka]Win[/knopka] + [knopka]R[/knopka] или кликом по одноимённой кнопке в «Пуске») либо в поисковой строке «Пуска».

Также командную строку можете вызвать через ярлык в каталоге «Стандартные».

1. Вводим или вставляем следующую команду «bcdedit.exe /set nointegritychecks ON» и жмём [knopka]Enter[/knopka] для её запуска.

Если захотите опять запускать только подписанные драйверы, вместо «ON» используйте параметр «OFF».

1. Завершаем все приложения и перезагружаем компьютер командой «shutdown /r» или через «Пуск», если так удобнее.

Ещё один способ избавиться от сообщения, оповещающего, что издателя каких-либо драйверов проверить не удается, при помощи командной строки заключается в активации режима, где неподписанные продукты будут выполняться в изолированной среде.

Запускаем командную строку любым способом и выполняем в ней последовательность команд:

• exe -set loadoptions ddisable_integrity_checks;
• exe -set testsigning on.

Убедитесь, что после каждого нажатия кнопки [knopka]Ввод[/knopka] появилось сообщение об успешном выполнении операции.

Включить обязательную проверку подлинности драйверов перед их загрузкой и установкой обратно можно аналогичным образом, заменив параметр «ddisable» на «enable» в первой команде, а «on» на «off» во второй.

Настройки групповых политик

Сразу отметим, что для домашней редакции Windows 7 предложенный вариант неактуален, так как «Редактор групповых политик» в ней отсутствует.

1. В командном интерпретаторе выполняем «gpedit.msc».

1. Переходим в раздел конфигурации текущего пользователя и разворачиваем «Административные шаблоны».

1. Переходим вниз по иерархии, как показано на скриншоте.

1. Открываем диалог редактирования записи «Цифровая подпись…».

1. Переносим переключатель в положение «Отключить» и щёлкаем «ОК».

Редактор системного реестра

Последним методом убрать проверку подлинности драйвера является изменение значения ключа реестра, который активирует/выключает данную опцию.

1. Выполняем команду «regedit».

1. Идём в раздел с настройками текущего пользователя.

1. В каталоге с параметрами программного обеспечения разворачиваем ветку «Policies».

1. В разделе «Microsoft» создаём папку «Driver Signing».

1. Переходим в неё и через контекстное меню добавляем параметр «DWORD 32 bit», даже если используетесь Windows 64 bit.

1. Называем его «BehaviorOnFailedVerify», выполнив двойной клик по названию, а в качестве значения вводим «0».

Изменения вступят в силу после перезагрузки или очередной авторизации в системе.

Подписываем драйвер вручную

Если ничего не помогло, придётся самостоятельно осуществить подписывание драйвера. Для этого выполняем команду типа: «pnputil –a c:*.inf», где «c:*.inf» – путь до inf файла проблемного продукта.

Чтобы отыскать inf-файл, скорее всего придётся распаковать инсталлятор, если таков используется, при помощи архиватора, например, 7z.

Ещё для подписи драйверов можете скачать утилиту ReadyDriverPlus . Она будет автоматически запускать систему в режиме с отключенной проверкой подписи программного обеспечения, как это описано в первом разделе.

Видеоинструкция

В конце предлагаем посмотреть на видео, в котором показано, как отключить проверку подлинности драйверов.

Оцените статью

Источник: os-helper.ru