Как сделать цифровую подпись драйвера windows 7

Драйвера без цифровой подписи в Windows 7

Многие пользователи уже встречались с неподписанными драйверами. Хочешь установить необходимый драйвер для какой-то программы, а Windows 7 показывает здоровенную фигу – мол, иди гуляй, парнишка, у драйвера нет цифровой подписи. Как решить такую проблему?

Собственно, решений здесь ровным счетом два – либо избавиться вообще от проверки цифровых подписей, либо…добавить эту подпись самостоятельно! Ага, вы небось и не знали, что драйвера можно подписывать собственноручно? Век живи – век учись.

Но сначала узнаем, как можно отключить проверку цифровой подписи у драйверов.

Отключение проверки цифровых подписей у драйверов в Windows 7

Отключить сие безобразие можно в специальном режиме Windows 7, который выбирается при загрузке системы. Как правило, такая возможность актуальна для программ, что устанавливают свой драйвер без перезагрузки.

Для отключения следует открыть загрузочное меню Windows 7, для чего используется клавиша . Включим компьютер, подождем пока промелькнет текст BIOS и начинаем часто нажимать клавишу . Жмем-жмем и появится либо меню выбора операционной системы (если их несколько), либо загрузочное меню.

В первом случае выберите нужную версию Windows, затем снова жмите (надо успеть нажать до того, как Windows загрузится), после чего появится нужное нам меню.

В этом меню выберите параметр Отключение обязательной проверки подписи драйверов и нажмите клавишу .

В результате, Windows будет загружена в специальном режиме. Но не пугайтесь, от обычного он отличается только тем, что в нем нет проверки цифровой подписи у драйверов – и больше ничем. Достаточно перезагрузить Windows и обычный режим проверки снова будет включен.

Кстати, если устанавливать некоторые драйвера в таком режиме, вредная Windows все равно может показать предупреждение, что драйвер не подписан. Наплюйте на него, закройте это предупреждение, и драйвер будет все равно установлен.

Все это замечательно, но я хочу сам подписывать драйвера, ага! Об этом мы поговорим в следующем разделе.

Как вручную подписать драйвер в Windows 7

Сделать такое злодейство, как подпись драйвера, нам поможет программа DSEO (Driver Signature Enforcement Overrider). С помощью данной программы можно создавать собственные подписи драйверов. Учтите – чтобы программа работала, обязательно нужно отключить UAC, иначе фокуса не получится.

Сама программа простая как веник, и работать с ней чрезвычайно просто.

1. Запустите программу, щелкните на кнопке Next, затем еще раз на кнопке Next.
2. Выберите переключатель Enable Test Mode (тестовый режим), щелкните Next.
3. Выберите переключатель Sign a System File (подписать системный файл) и щелкните на кнопке Next.
4. Укажите путь к файлу драйвера (вроде C:WindowsSystem32Driverslkindrv.sys), затем снова щелкните на кнопке Next.
5. Таким же макаром подписывается необходимое количество драйверов. Осталось перезагрузиться и спокойно себе устанавливайте нужный драйвер.

Есть у такого метода и нюансы – данный тестовый режим будет включен постоянно. К слову сказать, он совершенно официально предназначен для тестирования новых драйверов. Иногда из-за него рядом с панелью задач отображается номер сборки Windows и указано, что операционная система работает в тестовом режиме. Из-за надписи можно не переживать, после выхода из тестового режима она исчезнет.

А как из него выйти? Запустить DSEO, выбрать переключатель Disable Test Mode и снова перезагрузиться.

Метод весьма действенный, причем он не изменяет системный загрузчик либо системные файлы Windows. Однако, есть и альтернативы, которые изменяют загрузчик для автоматического выбора пункта меню Отключение обязательной проверки подписи драйверов. Речь идет о программе ReadyDriverPlus и подробнее о ней в следующем разделе.

Программа ReadyDriverPlus

Программа ReadyDriverPlus позволяет сделать выбор пункта Отключение обязательной проверки подписи драйверов автоматическим. Другими словами, не придется постоянно давить кнопку при загрузке – мелочь, а приятно.

При установке программы достаточно указать, где находится папка Boot с загрузочными файлами Windows (в большинстве случаев C:Boot), после чего перезагрузиться. Папка Boot является скрытой и находится на диске C:, либо в скрытом дисковом разделе.

Теперь при загрузке Windows на несколько секунд появится вариант загрузки – с проверкой подписи или без проверки. Если не выбрать вариант обычной загрузки, то Windows будет загружена в нужном нам режиме.

У некоторых пользователей есть сложности с нахождением папки Boot – действительно, она умеет прятаться (и не зря, слишком важные в ней файлы). Поскольку папка понадобится для работы программы, найти ее можно благодаря советам, представленным в статье “Скрытая папка Boot с загрузочными файлами Windows 7“.

Как сделать цифровую подпись драйвера windows 7

В Windows 7 x64 существует несколько способов отключить проверку цифровой подписи устанавливаемого драйвера: с помощью групповой политики или тестового режима загрузки системы (подробнее все способы описаны в статье Отключаем проверку цифровой подписи для установки неподписанных драйверов в Windows 7).

Сегодня мы покажем, как можно самостоятельно подписать любой неподписанный драйвер для 64 битной версии Windows 7.

Предположим, что у нас имеется драйвер некого устройства для Windows 7 x64, для которого отсутствует цифровая подпись (в нашем примере это будет драйвер для довольно старой видеокарты). Архив с драйверами под нашу версию Windows был скачан с сайта производителя и его содержимое распаковано в каталог c:toolsdrv1. Попробуем установить драйвер, добавив его в хранилище драйверов Windows с помощью стандартной утилиты pnputil.

Pnputil –a c:toolsdrv1xg20gr.inf

В процессе его установки система отобразит предупреждение о том, что система не может проверить цифровую подпись данного драйвера.

Попробуем подписать данный драйвер с помощью самоподписанного сертификата.

Какие инструменты нам понадобятся

Для работы нам понадобится скачать и установить (с настройками по умолчанию) следующие инструменты разработчика приложений для Windows.

• Microsoft Windows SDK for Windows – распространяется в виде ISO образа GRMSDK_EN_DVD.iso, размером 595 Мб
• Windows Driver Kit 7.1.0 — ISO образа GRMWDK_EN_7600_1.ISO размером 649 Мб

Создаем самоподписанный сертификат и закрытый ключ

Создадим в корне диска каталог C:WinItProDriverCert.

Откроем командную строку и перейдем в следующий каталог:

cd C:Program Files (x86)Microsoft SDKsWindowsv7.1bin

Создадим самоподписанный сертификат и закрытый ключ, выданный, допустим, для компании Winitpro:

makecert -r -sv C:WinItProDriverCertWinitproDrivers.pvk -n CN=”Winitpro” C:WinItProDriverCertWinItProDrivers.cer

Во время создания утилита попросит указать пароль для ключа, пусть это будет P@ss0wrd.

На основе созданного сертификата создадим публичный ключ для сертификат издателя ПО (PKCS).

cert2spc C:WinItProDriverCertWinItProDrivers.cer C:WinItProDriverCertWinItProDrivers.spc

Объединим публичный ключ (.spc) и персональный ключ (.pvk) в одном файле сертификата формата Personal Information Exchange (.pfx)

pvk2pfx -pvk C:WinItProDriverCertWinitproDrivers.pvk -pi P@ss0wrd -spc C:WinItProDriverCertWinItProDrivers.spc -pfx C:WinItProDriverCertWinItProDrivers.pfx -po P@ss0wrd

Подготовка пакета драйверов

Создадим каталог C:WinItProDriverCertxg20 и скопируем в него все файлы из каталога, в который первоначально был распакован архив с драйвером (c:toolsdrv1). Убедить что среди файлов имеются файлы с расширением .sys и .inf (в нашем случае xg20grp.sys и xg20gr).

Перейдем в каталог:

На основе inf файла сгенерируем для нашей платформы cat файл (содержит информацию о всех файлах пакета драйвера).

inf2cat.exe /driver:”C:WinItProDriverCertxg20″ /os:7_X64 /verbose

Чтобы убедитесь, что процедура прошла корректно, проверьте что в логе присутствуют сообщения:

После выполнения команды в каталоге драйвера должен обновиться файл xg20gr.cat

Подписываем драйвер самоподписанным сертифкатом

Перейдите в каталог

cd C:Program Files (x86)Microsoft SDKsWindowsv7.1Bin

Подпишем комплект файлов драйвера созданным нами сертификатом, в качестве сервиса таймстампа воспользуемся ресурсом Verisign.

signtool sign /f C:WinItProDriverCertWinItProDrivers.pfx /p P@ss0wrd /t https://timestamp.verisign.com/scripts/timstamp.dll /v C:WinItProDriverCertxg20xg20gr.cat

Установка сертификата

Т.к. созданный нами сертификат является самоподписанным, система по-умолчанию ему не доверяет. Добавим наш сертификат в локальное хранилище сертификатов. Сделать это можно с помощью команд:

certmgr.exe -add C:WinItProDriverCertWinItProDrivers.cer -s -r localMachine ROOT

certmgr.exe -add C:WinItProDriverCertWinItProDrivers.cer -s -r localMachine TRUSTEDPUBLISHER

Или из графического мастера добавления сертификатов (сертификат нужно поместить в хранилища Trusted Publishers и Trusted Root Certification Authorities)

Установка драйвера, заверенного самоподписанным сертификатом

Попробуем еще раз установить подписанный нами драйвер, выполнив команду:

Pnputil –i –a C:WinItProDriverCertxg20xg20gr.inf

Теперь в процессе установки драйвера, окна-предупреждения об отсутствующей цифровой подписи драйвера не появится, система же просто выдаст сообщение о том, уверены ли вы, что хотите установить этот драйвер. Нажав «Install» — вы установите драйвер в системе.

Отключение проверки цифровой подписи драйверов в Windows 7

Иногда операционная система блокирует инсталляцию драйверов, если у них отсутствует цифровая подпись. В Windows 7 эта ситуация особенно часто происходит на 64-разрядных ОС. Давайте разберемся, как в случае необходимости отключить проверку цифровой подписи.

Способы деактивации проверки

Сразу следует оговориться, что деактивируя проверку цифровой подписи, вы действуете на свой страх и риск. Дело в том, что неизвестные драйвера могут быть источником уязвимости или прямой опасности, если являются продуктом разработки злоумышленников. Поэтому не рекомендуем снимать защиту при установке объектов, скачанных из интернета, так как это очень рискованно.

В то же время бывают ситуации, когда вы уверены в подлинности драйверов (например, когда они поставляются в комплекте с оборудованием на дисковом носителе), но у них по какой-то причине отсутствует цифровая подпись. Вот для таких случаев и стоит применять описанные ниже способы.

Способ 1: Переход в режим загрузки с деактивацией обязательной верификации подписей

Чтобы деактивировать верификацию подписи драйверов при их инсталляции на Виндовс 7, можно произвести загрузку ОС в особом режиме.

Перезагрузите или включите компьютер в зависимости от того, в каком состоянии он в данный момент находится. Как только прозвучит звуковой сигнал при запуске, зажмите клавишу F8. В некоторых случаях это может быть иная кнопка или сочетание, в зависимости от версии BIOS, установленного на вашем ПК. Но в подавляющем большинстве случаев нужно применять именно вышеуказанный вариант.

Недостаток данного метода заключается в том, что как только вы запустите в следующий раз компьютер в обычном режиме, все установленные драйвера без цифровых подписей тут же слетят. Этот вариант подходит лишь для одноразового подключения, ели вы не планируете использовать устройство регулярно.

Способ 2: «Командная строка»

Отключить верификацию цифровой подписи можно при помощи введения команд в «Командную строку» операционной системы.

Жмите «Пуск». Переходите во «Все программы».

В раскрывшейся директории ищите «Командная строка». Произведя нажатие по указанному элементу правой кнопкой мышки (ПКМ), выбирайте позицию «Запуск от имени администратора» в отобразившемся перечне.

Активируется «Командная строка», в которую нужно ввести следующее:

bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS

После появления информации, говорящей об удачном завершении задачи, вбивайте такое выражение:

bcdedit.exe -set TESTSIGNING ON

Снова применяйте Enter.

Верификация подписи теперь деактивирована.

Для её повторной активации вбейте:

bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS

Применяйте нажатием Enter.

bcdedit -set TESTSIGNING ON

Снова нажимайте Enter.

Существует ещё один вариант действий через «Командную строку». В отличие от предыдущего, он требует всего лишь введения одной команды.

bcdedit.exe /set nointegritychecks ON

Проверка деактивирована. Но после инсталляции необходимого драйвера все-таки рекомендуем снова активировать верификацию. В «Командной строке» вбейте:

bcdedit.exe /set nointegritychecks ON OFF

Способ 3: «Редактор групповой политики»

Другой вариант деактивации верификации подписи осуществляется методом манипуляций в «Редакторе групповой политики». Правда, он доступен только в редакциях «Корпоративная», «Профессиональная» и «Максимальная», а вот для редакций «Домашняя базовая», «Начальная» и «Домашняя расширенная» этот алгоритм выполнения поставленной задачи не подойдет, так как в них отсутствует необходимая функциональность.

Для активации нужного нам инструмента воспользуемся оболочкой «Выполнить». Нажмите Win+R. В поле отобразившейся формы введите:

Запускается необходимый для наших целей инструмент. В центральной части открывшегося окна щелкайте по позиции «Конфигурация пользователя».

Далее жмите «Административные шаблоны».

Теперь войдите в директорию «Система».

Затем откройте объект «Установка драйвера».

Теперь щелкайте по названию «Цифровая подпись драйверов…».

Открывается окно настройки вышеуказанного компонента. Выставьте радиокнопку в положение «Отключить», а затем жмите «Применить» и «OK».

Теперь закрывайте все открытые окна и программы, далее щелкайте «Пуск». Кликните по треугольной фигуре справа от кнопки «Завершение работы». Выбирайте «Перезагрузка».

Способ 4: «Редактор реестра»

Следующий способ решения поставленного задания выполняется через «Редактор реестра».

Активируется оболочка «Редактора реестра». В левой области оболочки кликайте по объекту «HKEY_CURRENT_USER».

Далее заходите в каталог «Software».

Откроется очень длинный перечень разделов, расположенных по алфавиту. Отыщите среди элементов наименование «Policies» и кликните по нему.

Далее жмите по названию каталога «Microsoft»ПКМ. В контекстном меню выберите пункт «Создать» и в дополнительном перечне выбирайте вариант «Раздел».

Отобразится новая папка с активным полем для наименования. Вбейте туда такое имя – «Driver Signing» (без кавычек). Щелкайте Enter.

После этого щелкайте ПКМ по наименованию только что созданного раздела. В списке щелкайте по пункту «Создать». В дополнительном перечне выбирайте вариант «Параметр DWORD 32 bit». Причем эту позицию следует выбрать независимо от того 32-битная у вас система или же 64-битная.

Теперь в правой части окна отобразится новый параметр. Произведите по нему щелчок ПКМ. Выбирайте «Переименовать».

После этого название параметра станет активным. Впишите вместо текущего наименования следующее:

После этого произведите двойной щелчок левой кнопкой мыши по этому элементу.

Открывается окно свойств. Необходимо проверить, чтобы радиокнопка в блоке «Система исчисления» стояла в позиции «Шестнадцатеричная», а в поле «Значение» была установлена цифра «0». Если все это так, то просто щелкайте «OK». Если же в окне свойств любой из элементов не отвечает вышеприведенному описанию, то необходимо произвести те установки, о которых было сказано, и только после этого нажать «OK».

В Виндовс 7 существует несколько методов деактивации проверки подписи драйверов. К сожалению, только вариант с включением компьютера в особом режиме запуска гарантировано обеспечит нужный результат. Хотя и он имеет некоторые ограничения, выражающиеся в том, что после запуска ПК в обычном режиме все инсталлированные драйвера без подписи слетят. Остальные методы могут работать не на всех компьютерах. Их работоспособность зависит от редакции ОС и установленных обновлений. Поэтому, возможно, придется перепробовать несколько вариантов, прежде чем вы получите ожидаемый результат.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Источники:

https://windata.ru/windows-7/optimizaciya-7/drajvera-bez-cifrovoj-podpisi-v-windows-7/
https://www.sites.google.com/site/1sspravocniktipovyhzadac/zapusk-1s-predpriatia-iz-komandnoj-stroki/emulatory-klucej/kak-samostoatelno-podpisat-drajver-dla-windows-7
https://lumpics.ru/how-disable-digital-signature-drivers-in-windows-7/