Treiber für digitale Signaturen zur Verbesserung der Systemsicherheit

Es ist nicht so, dass die digitale Unterschrift des Fahrers der Witwe eines pensionierten Leutnants ähnelt, der sich selbst ausgepeitscht hat, aber die Analogien sprechen für sich. Auf die Frage: „Was ist eine digitale Signatur von Fahrern und wofür ist sie?“ Wird die Antwort sehr einfach sein. Erstens ist es eine bestimmte Sequenz von Codes, die vom Entwickler in den Code des Treiberprogramms eingefügt wird und über die das Betriebssystem (in diesem Fall Windows) den Algorithmus zum Abrufen dieser Codes kennt (oder kennt).

Deaktivieren der Überprüfung der digitalen Signatur für Windows-Treiber.

Und zweitens ist es schon recht einfach und klar, wenn der Treiber im System installiert ist, er prüft seine digitale Signatur auf Echtheit. Wenn alles passt, wird die Installation fortgesetzt. Wenn es nicht zusammenfällt, hört es natürlich auf. Die Idee einer digitalen Signatur ist überhaupt nicht neu. Sie wird seit langem in Informationsübertragungssystemen verwendet (und wird immer noch verwendet, obwohl seit langem ausgefeiltere Mechanismen zum Schutz vor Verfälschungen entwickelt wurden) und wird oft als "Prüfsumme" bezeichnet. In der einfachsten Version handelte es sich lediglich um eine Einzelbyte-Modulo-2-Addition des gesamten Inhalts der Datei.

Spezifität der Treiber als Betriebssystemsteuerprogramme

Nun, und dann kommt die Politik ins Spiel - zunächst die Geschäftspolitik der Gerätehersteller und dementsprechend der Fahrer. Das Gerät wurde entwickelt, der Treiber wurde entwickelt. Jetzt muss nur noch eine Softwarefirma Microsoft überzeugen, Informationen zu diesem Treiber in Windows einzufügen, damit das Gerät und der Treiber von diesem Hersteller erkannt werden. Schließlich gibt es viele Mitbewerber von Drittanbietern, die ihren eigenen Treiber für dasselbe Gerät entwickeln können - der beste oder der schlechteste, auch wenn es nicht wichtig ist, die Hauptsache ist illegal, was bedeutet, dass es für die Verwendung im System nicht akzeptabel ist.

Weiter Ein Fahrer ist ein Programm und daher ein Gegenstand der Exposition gegenüber Viren. Darüber hinaus ist ein solches Programm eine Non-Killer-Karte für Viren, da der Treiber ohnehin mit dem System selbst gestartet wird. Der Virus „kennt“ die digitale Signatur des Treibers jedoch nicht, und Windows überprüft bei jeder Installation die Signatur auf Echtheit. Dies ist der Schutz vor mit Viren infizierten Treibern und einem weiteren Plus der digitalen Signatur.

Andererseits gibt es in der Tat viele Fahrer von Drittanbietern, die den offiziellen deutlich überlegen sind. Sie haben jedoch keine digitale Signatur, was bedeutet, dass sie nicht zugestellt werden können, wenn Sie die Prüfung der digitalen Signatur des Treibers in Windows nicht deaktivieren. Und diese Möglichkeit wird von Microsoft selbst geboten, es wurden keine "Brandbrücken dahinter". Standardmäßig sehen die Windows-Startoptionen eine obligatorische Überprüfung der digitalen Signatur des Treibers vor. Sie kann jedoch abgebrochen werden, wenn Sie die Gefahr verstehen, unter der das System leidet - entweder durch einen falsch geschriebenen "nicht-nativen" Treiber oder durch Viren.

Eine kleine Nuance - im Vorbeigehen

Das Deaktivieren der Treibersignaturüberprüfung von Windows 10 oder einer anderen Version ist so wichtig, dass einige Entwickler sie in die für das Funktionieren ihres Programms unabdingbare Bedingung einbeziehen. In der Regel verhalten sich verschiedene Spieleanwendungen so. Hier ist ein gutes Beispiel - Spiele von 4Game Service. Zu Beginn des Erscheinens des Dienstes war es notwendig, einen speziellen Client für Treiber vorab herunterzuladen, aber im Laufe der Zeit beschlossen sie, nur alles, was sie brauchten, in Browser einzubetten. Eine solche Änderung führte zu einer Änderung in der Wurzel der Schutzpolitik namens Frost - Frost.

Das einzige Problem ist, dass die neue Richtlinie nicht funktioniert, ohne zuvor die obligatorische Überprüfung der Treibersignatur zu deaktivieren. Es muss jedoch "deaktiviert" werden und Ihre Fragen dazu, wie dieser offizielle Dienst den offiziellen Schutz des Systems vor Piraterie und Viren deaktivieren kann. Aber am Ende bietet Microsoft selbst eine solche Gelegenheit. Nun, dann ist die Richtlinie des Entwicklers in diesem Fall nicht im aktuellen Gegenstand des Verfahrens enthalten, insbesondere wenn Microsoft nicht dagegen ist.

Deaktivieren der Überprüfung der digitalen Signatur des Treibers

Es gibt verschiedene Möglichkeiten, um das Problem zu lösen und die digitale Signatur der Treiber für Windows 7, 8 und alle nachfolgenden Versionen zu deaktivieren. Viele von ihnen sind einander sehr ähnlich. Die erste Möglichkeit besteht darin, dass Sie an einem Computer mit Systemadministratorrechten arbeiten müssen. Wir geben die Arbeit über die Kommandozeile ein - gehen Sie über die Schaltfläche „Start“ in das Hauptmenü des Systems. Wählen Sie dann "Meine Programme" und "Standard". In der sich öffnenden Liste - "Command Line". Geben Sie im geöffneten "schwarzen Fenster" in der Befehlszeile Folgendes ein:

  • bcdedit.exe / set nointegritychecks ON, um die obligatorische Überprüfung der Treibersignatur zu deaktivieren.

Um die Prüfung wieder einzuschalten, ist die Leitung dieselbe, aber c "AUS":

  • bcdedit.exe / set nointegritychecks OFF

Warum das Deaktivieren der Prüfung eingeschaltet ist und das Einschalten ausgeschaltet ist, ist aus dem Namen des verwendeten Parameters ersichtlich - "nointegritychecks", was übersetzt "ohne interne Prüfungen" bedeutet.

Eine andere Möglichkeit betrifft auch die Verwendung des Systemdienstprogramms bcdedit.exe in der Befehlszeile. Aber hier handeln wir in zwei Schritten. Zuerst geben wir das Dienstprogramm mit dem Parameter loadoptions ein und führen es aus:

  • bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS

Dann mit dem Wert des Signaturtestparameters testsigning:

  • bcdedit.exe -set testsigning ON

Warten Sie unbedingt auf die Meldung „Vorgang erfolgreich abgeschlossen“ im Befehlsfenster, die möglicherweise nach einer kurzen Verzögerung angezeigt wird. Jetzt ist die Überprüfung der digitalen Signatur des Treibers deaktiviert. Damit die Überprüfung der Signatur wieder funktioniert, geben wir dieselben Befehle in umgekehrter Reihenfolge und mit unterschiedlichen Werten der Parameter ein:

  • Bcdedit.exe -set testet zuerst AUS
  • Dann bcdedit.exe -set loadoptions ENABLE_INTEGRITY_CHECKS

Die dritte Möglichkeit besteht darin, die Signaturüberprüfung von Windows 8-Treibern beim Starten des Computers zu deaktivieren. Diese Funktion ist sehr praktisch, wenn Sie nur den Treiber testen müssen.

Wenn wir also booten, geben wir die F8-Taste im Boot-Menü des Systems ein und wählen dort den Bootvorgang nur mit dem Abbruch der Überprüfung der Treibersignatur aus - Deaktivieren Sie die Durchsetzung der Treibersignatur. Wenn das System hochfährt, können Sie alle Treiber mit oder ohne Signaturen installieren. Diese werden nicht überprüft. Hier müssen Sie jedoch verstehen, dass diese Funktion nur funktioniert, bis das System neu gestartet wird.

Die vierte Option ermöglicht die Verwendung des lokalen Gruppenrichtlinien-Editors des Betriebssystems, funktioniert jedoch nicht in allen Windows-Versionen. Wir verhalten uns wie folgt: Im Hauptmenü des Systems wählen wir "Ausführen" und in der Zeile für die Ausführung geben Sie gpedit.msc ein. Wir starten das Programm der Gruppenrichtlinie und öffnen ein gleichnamiges Fenster. Gehen Sie im linken Fenster nacheinander den Pfad der Ordner "Benutzerkonfiguration" - "Administrative Vorlagen" - "System" entlang. Wählen Sie als nächstes "Treiberinstallation" und den Parameter "Digitale Signatur", der geändert werden muss.

Zum Ändern oder Doppelklicken des Parameters mit der Maus oder zum Auswählen des Textes links - „Parameter ändern“. Wählen Sie zum Deaktivieren den Schalter "Aus" und übernehmen Sie die Änderungen (Schaltfläche OK oder "Übernehmen"). Die Einbeziehung aller „Gruppenrichtlinien“ -Einstellungen in die Arbeit erfolgt ohne Neustart des Systems. Im Zweifelsfall können Sie auch einen Neustart durchführen und dabei erneut prüfen, in welchem ​​Status sich der Parameter befindet.

Achten Sie auf eine Funktion - Schalter "Warnen". Seine Wahl, wenn ein Treiber ohne Signatur verwendet wird, ermöglicht es dennoch, die Installation des Treibers abzuschließen, nur wird er ohnehin nicht für die Arbeit akzeptiert.

Nun, die letzte, bereits radikale Möglichkeit besteht darin, den Treiber zum Signieren zu zwingen, was auch über die Befehlszeile mit dem Dienstprogramm pnputil erfolgen kann:

  • pnputil –a. Der "vollständige Name" ist eine Zeichenfolge im Format:
  • : /.

Fazit

Wenn Sie die Richtlinien des Betriebssystems mit digitalen Signaturen von Treibern beeinflussen, müssen Sie verstehen, dass Sie den Betrieb des Systems selbst stören, seine Umgebung ändern und vor allem die Sicherheit. Und es geht nicht so sehr um Viren, sondern um die Richtigkeit des "linken" Treibers, der verwendet werden soll. Fehler bei der Implementierung des Treibers können sauberer sein als der gefährlichste Virus. Das Ergebnis ist dasselbe - die vollständige Inoperabilität des Systems und die Notwendigkeit, es neu zu installieren. Das Manipulieren der Arbeit mit diesem internen Schutztool ist jedoch sehr nützlich, um den Mechanismus des Betriebssystems selbst zu verstehen.