نکات مفید

همه چیز درباره امضای درایور Windows

همانطور که می دانید ، در سیستم عامل های x64 bit یک روش اجباری امضای دیجیتال برای همه مواردی که می تواند به هسته سیستم وارد شود ، یعنی درایورها ، معرفی شد. می توان مدت ها در مورد میزان موثر و موجه بودن آن بحث کرد ، اما فقط یک چیز را می توان به طور قطعی گفت - gimora قطعاً به توسعه دهندگان اینجا اضافه شده است ، خصوصاً به کسانی که قبلاً هرگز با امضاها سر و کار نداشته اند. همچنین ، برای بسیاری از افراد نحوه تولید راننده در صورت عدم وجود گواهی معتبر بسیار نامشخص است و آزمایش آن به نوعی ضروری است. در اینجا سعی می کنم به صورت مختصر و در دسترس به شما بگویم که چگونه این کار انجام می شود.

اول از همه ، من می خواهم دو نوع گواهینامه را که در این مقاله در نظر خواهم گرفت ، برجسته کنم - آزمایشی و واقعی. تفاوت در این است که این گواهی توسط CA معتبر (مقامات صدور گواهینامه - ناشر معتمد) مانند VeriSign ، GlobalSign یا خود مایکروسافت امضا می شود و نمونه آزمایشی با یک نوع گواهینامه خود ساخته از Vasya Pupkin امضا می شود.

گواهینامه آزمون
همانطور که احتمالاً قبلاً حدس زده اید ، با کمک این نوع گواهینامه است که می توانید با خیال راحت یک راننده را توسعه دهید بدون اینکه یک نسخه واقعی در دستان شما باشد ، اما همه چیز خیلی ساده نیست ، قبل از استفاده از آن باید فعالیت های کسل کننده و حیله گرانه انجام دهید:

این گواهینامه
در اینجا نیز همه چیز خیلی ساده نیست. واقعیت این است که هر CA نمی تواند برای امضای گواهینامه صادر کند درایورهای ویندوز، اما فقط کسانی که توسط خود مایکروسافت مجاز هستند ، به این معنی که گواهی نامه های اصلی این ناشران باید توسط مایکروسافت امضا شوند - دقیقاً همان چیزی که در قالب این گواهی متقابل بیان می شود. دقیقاً به دلیل نداشتن گواهی متقابل است که امضای آزمون هرگز مانند یک امضای واقعی کار نخواهد کرد. لیستی از CA های معتبر که دارای چنین گواهینامه های متقابل هستند ارائه شده است ، در آنجا می توانید خود گواهی های متقابل را نیز بارگیری کنید.
پس از واریز چند صد دلار $ نزد یک مرجع صدور گواهینامه معتبر ، آنها یک فایل .pfx به شما می دهند که حاوی کلیدهای عمومی و خصوصی است. شما آن را شروع کرده و با استفاده از یک گفتگوی ساده (مانند تصویر زیر) آن را در سیستم نصب می کنید.

امضای درایور
روند امضای آزمون و گواهینامه های واقعی بسیار مشابه است ، تفاوت در این موارد است:

  • برای آزمون امضا هیچ گواهی متقابل مورد نیاز نیست
  • برای آزمون امضا می توانید از مهلت زمان صرف نظر کنید
پس بیایید شروع کنیم
  1. ابزار signature - signtool را بارگیری کنید (همچنین در کیت WDK6000 / 6001 موجود است)
  2. ما با یک گواهینامه آزمون امضا می کنیم:
    signtool sign / v / s PrivateCertStore / n "TestCertforWDK" driver.sys
    جایی که
    فروشگاه خصوصی - نام ذخیره سازی
    TestCertforWDK - نام گواهی آزمون
    راننده.سیس - نام راننده

    با این گواهی:
    signtool sign / v / ac MSCV-GlobalSign.cer / s PrivateCertStore / n "YourTrueCertName" / t http://timestamp.globalsign.com/scripts/timstamp.dll driver.sys
    جایی که
    MSCV-GlobalSign.cer - نام گواهی متقابل
    YourTrueCertName - نام گواهی حاضر
    timestamp.globalsign.com/scripts/timstamp.dll - آدرس مرکز زمان سنجی ، در مورد من علامت جهانی

بعلاوه ، درایور را می توان با استفاده از یک API ویژه یا با استفاده از ابزار فوق العاده KmdManager به صورت برنامه ریزی نصب کرد.

امضای بسته درایور
در زندگی واقعی ، امضای درایور به خودی خود کافی نیست ، واقعیت این است که درایورهای دستگاه معمولاً با یک فایل inf که شامل اطلاعاتی درباره درایور و دستگاه هایی است که در آن سرویس می شود ، ارائه می شوند. در این حالت ، لازم است که یک فایل cat ایجاد کنید که شامل اطلاعات مربوط به تمام پرونده های بسته باشد و سپس آن را به همان روشی که درایور امضا شده امضا کنید.
برای تولید پرونده گربه و امضای آن ، به موارد زیر نیاز داریم:

  1. پرونده صحیح را اصلاح کنید (ذخیره کردن تنبورها ، بچه ها)
  2. ابزاری که این پرونده گربه را از طریق inf files تولید می کند ، inf2cat است (این ابزار در بسته WDK6001 / 7600 گنجانده شده است ، و به طرز عجیبی ، در دات نت نیز نوشته شده است)
  3. سپس ما یک پرونده گربه ایجاد می کنیم ، مانند این
    inf2cat.exe / driver: release \\ amd64 / os: Vista_x64، Server2003_x64، Server2008_x64
    جایی که
    انتشار \\ amd64 - پوشه ای که فایل inf و درایورها در آن قرار دارند
    Vista_x64، Server2003_x64، Server2008_x64 - لیستی از سیستم عاملی که درایور باید اجرا شود
  4. ما آن را به همان شیوه راننده امضا می کنیم
    signtool sign / v / ac MSCV-GlobalSign.cer / s PrivateCertStore / n "YourTrueCertName" / t http://timestamp.globalsign.com/scripts/timstamp.dll catalog.cat
    راننده خود نیازی به امضا ندارد.
  5. ما بررسی می کنیم که همه چیز به خوبی امضا شده است ، برای این ویژگی .cat فایل (یا درایور) را باز می کنیم و به برگه Digital Signatures نگاه می کنیم - اگر وجود دارد ، می توانیم نتیجه را تحسین کنیم ، در غیر این صورت ، در جایی به هم ریخته ایم.
    همچنین می توانید با استفاده از خط فرمان با اطمینان بیشتری بررسی کنید
    signtool verify / pa / v / c catalog.cat

EasySign
در نتیجه تمام تحقیقاتم در مورد SABZH ، من به سرعت یک برنامه ساده EasySign ارائه دادم که می تواند بدون خطای اضافی با خط فرمان و پرونده های خفاش ، هیزم را امضا کند. شاید برای کسی مفید باشد.

خود برنامه را می توان بارگیری کرد و کتابچه راهنما را می توان در زیر مطالعه کرد:

  1. ما به Inf Dir مسیر پوشه ای را که خود فایل .inf در آن قرار دارد هدایت می کنیم و تمام پرونده های مورد نیاز به آن متصل است.
  2. ما سیستم عامل محل کار راننده را انتخاب می کنیم.
  3. Cross Cert - درصورتی که نیاز دارید راننده را به طور واقعی امضا کنید ، مسیر رسیدن به گواهینامه cross را مشخص کنید
  4. Cert Store - نام فروشگاهی که گواهینامه ما در آن واقع شده است (به عنوان مثال PrivateCertStore)
  5. Cert Name - نام گواهی (به عنوان مثال TestCertforWDK) ، اگر فقط یک گواهی در فروشگاه وجود دارد ، می توانید این قسمت را خالی بگذارید.
  6. Time Stamp - آدرس مرکز زمان سنجی برای گواهی آزمون - می توانید آن را خالی بگذارید
  7. پرونده هایی که باید امضا شوند ، در اینجا باید پرونده cat را اضافه کنید (اگر هنوز ایجاد نشده است ، نام آن را دستی بنویسید) ، و همچنین می توانید تمام پرونده های درایور را اضافه کنید
  8. فقط ایجاد کاتالوگ - اگر نیازی به امضا ندارید ، اما فقط یک فایل .cat ایجاد کنید
  9. بر روی Sign کلیک کنید - برای ایجاد یک cat-file و sign ، روی Log کلیک کنید - تا بخوانید چه اتفاقی افتاده است ، اغلب خطاهایی رخ می دهد ، به عنوان مثال ، inf-file به درستی کامپایل نشده است ، یا signtool چیزی پیدا نکرده است ، و غیره

برچسب ها: درایورها ، ویندوز ، امضای دیجیتال

ویندوز 8.1 بدون نصب درایور مسدود می کند امضای دیجیتالی معتبر (یا بعد از استفاده اصلاح شد). این امر به دلایل امنیتی انجام می شود ، زیرا نصب درایورهای امضا نشده یا دستکاری (احتمالاً استفاده از ویروس) می تواند منجر به عواقب غیر قابل پیش بینی از جمله نصب مجدد سیستم شود.

راننده امضا شده چیست؟

راننده امضا شده یک درایور دستگاه با امضای دیجیتال است. امضای دیجیتالی یک برچسب امنیتی الکترونیکی است که ممکن است ناشر این نرم افزار را نشان دهد و اینکه آیا از زمان امضای درایور ، راننده تغییر کرده است یا نه اگر یک درایور توسط ناشر امضا شده و امضای آن توسط CA تأیید شده باشد ، مطمئن باشید که درایور توسط ناشر خاص آزاد شده و اصلاح نشده است.

درایورهای بدون یا با امضای دیجیتالی را نصب کنید؟

در این حالت ، همه چیز به این بستگی دارد که چرا باید درایورهای بدون علامت را نصب کنید. در صورت نیاز به نصب درایورهای دستگاه قدیمی مانند اسکنر ، می توانید به طور موقت به سیستم اجازه نصب درایورهای بدون امضا را بدهید.

چگونه تأیید امضا را غیرفعال کنم؟

برای غیرفعال کردن موقت تأیید امضای دیجیتالی رانندگان ، موارد زیر را انجام دهید:

1. مکان نما را به گوشه پایین سمت راست صفحه منتقل کنید ، مورد را انتخاب کنید "گزینه ها" یا کلیدهای Win + I را فشار دهید. کلید shift را فشار دهید و فشار آن را نگه دارید ، انتخاب کنید.

2. پس از راه اندازی مجدد ، در منوی کشویی "را انتخاب کنید" عیب یابی"

3. در پنجره " عیب یابی"انتخاب کنید" "

4. در "" انتخاب ""


5. در پنجره "کلیک کنید"


6. حالا مهمترین چیز. در پنجره "" ، شما باید کلید مورد نظر را انتخاب کنید ، در مورد ما F7 یا شماره 7 است


نتیجه

هنگامی که سیستم دوباره راه اندازی مجدد می شود ، سیستم مسدود کردن درایورهای امضا نشده به طور خودکار فعال می شود. درایورهایی که قبلاً امضا نشده اند ، به کار خود ادامه می دهند.

با چنین روشی غیر پیش پا افتاده ، می توانید با تنظیم عملکرد همه دستگاه های متصل به رایانه ، مشکل نصب درایورهای بدون علامت را برطرف کنید.

73459

با شروع ویندوز 7 ، مایکروسافت به دلایل امنیتی مجوز اجباری درایور را معرفی کرد. هر راننده ای که توسط یک فروشنده شخص ثالث آزاد می شود باید به طور خاص در آزمایشگاه مایکروسافت آزمایش شود. اگر تأیید موفقیت آمیز باشد ، درایور امضای مربوطه را دریافت می کند ، بنابراین می تواند در سیستم نصب شود. در مورد درایورهای امضا نشده ، نمی توانید مستقیماً آنها را نصب کنید و اگر بخواهید این کار را انجام دهید ، ویندوز پیامی درباره احتمال خراب شدن یا دستکاری پرونده نمایش می دهد.



با این حال ، چنین محافظتی مانع جدی در نصب رانندگانی که گواهینامه دیجیتال مناسب ندارند ، نیست. بنابراین ، فقط امروز ما ملاقات خواهیم کرد به روشی ساده به شما امکان می دهد این تأیید صحت امضای درایور را خاموش کنید. در هشتم نسخه های ویندوز این به شرح زیر انجام می شود. اول از همه ، ما باید وارد زیر بخش گزینه های بوت شویم. برای این کار ، با باز کردن حقوق مدیر کنسول ویندوزو سپس دستور زیر را وارد کرده و اجرا کنید:


در این حالت ، کامپیوتر مجدداً راه اندازی می شود و شما به منوی انتخاب اقدام منتقل می شوید. ما Diagnostics را فشار می دهیم -\u003e؛


> ;



با فشار دادن دکمه ، رایانه را مجدداً راه اندازی کنید.


پس از راه اندازی مجدد سیستم ، منویی را با گزینه های بوت مشاهده خواهید کرد. این جایی است که خط باید باشد. او هفتمین نفر متوالی است.


برای بوت ویندوز با استفاده از این پارامتر کلید 7 یا F7 را فشار دهید. اکنون ، اگر سعی کنید نصب درایور سمت چپ را شروع کنید ، سیستم عامل نیز پیامی را نمایش می دهد ، اما این بار یک هشدار امنیتی ساده است. فقط انتخاب کنید و راننده سرسخت در آن حضور خواهد داشت حالت عادیحداقل باید اینطور باشد ، اما شما فقط باید دوباره راه اندازی مجدد شوید و عملکرد آن را بررسی کنید.


در این حالت اما نمی توان منتفی دانست که نصب درایور غیرمجوز از این طریق امکان پذیر نباشد. در این حالت می توانید روش دیگری را امتحان کنید. ویندوز 8 دارای یک ویژه است "حالت آزمایشی عملکرد"... در این حالت ، تقریباً می توانید هرکدام را نصب کنید نرم افزار، از جمله درایورهایی که توسط Microsoft تأیید نشده اند. می توانید آن را به صورت زیر فعال کنید. کشف کردن خط فرمان به عنوان مدیر و این دو دستور را یکی یکی اجرا کنید (برای یک سیستم 64 بیتی):

bcdedit.exe / تنظیم nointegritycheck ها روشن است
bcdedit.exe / تنظیم آزمایشات روشن


هر دستور اجرا شده باید با یک پیام همراه باشد "عملیات با موفقیت انجام شد"... اکنون کنسول خود را ببندید و رایانه خود را دوباره راه اندازی کنید. اگر همه کارها به درستی انجام شده باشد ، کتیبه باید در گوشه پایین سمت راست ساعت شما ظاهر شود "حالت آزمون"... اکنون می توانید دوباره درایور بدون امضا را نصب کنید. پس از نصب و تأیید درایور ، حتماً خارج شوید حالت آزمون... برای انجام این کار ، باید همان دستورات را اجرا کنید ، اما فقط پرچم را اجرا کنید بر ( مشمول) جایگزین توسط خاموش ( خاموش) .

از نظر فنی ، کار در سیستم عاملی که در حالت اشکال زدایی اجرا می شود با کار در آن تفاوتی ندارد "طبیعی"با این حال ، اولاً ، چنین پیکربندی به طور کلی توسط مایکروسافت پشتیبانی نمی شود ، و ثانیا ، سطح امنیت را کاهش می دهد و خطر خطاهای مهم سیستم را افزایش می دهد.

اگر به رایانه ای با سیستم عامل ویندوز 10 (x86 یا x64) ، شما باید دستگاهی را متصل کنید (به عنوان مثال ، یک اسکنر ، چاپگر ، دوربین) ، همچنین باید نرم افزار (نرم افزار) مناسب را برای عملکرد آن نصب کنید - یک درایور.

مایکروسافت درایورهای تمام دستگاه های تولید شده برای کار با آنها را آزمایش می کند کامپیوترهای شخصی (رایانه شخصی) این شرکت امضای خود را (دیجیتال) بر روی درایورهایی قرار می دهد که همه آزمایشات را با موفقیت پشت سر گذاشته اند ، یعنی شامل یک فایل خاص در نرم افزار به صورت گواهینامه است. این سند دیجیتالی تضمین اصالت درایور و امنیت سیستم عاملی است که روی آن نصب می شود. لوازم خانگی با درایورهای امضا شده به راحتی با آنها هماهنگ می شوند سیستم ویندوز 10.

با این حال ، گاهی اوقات دستگاه های منسوخ در نظم کار وجود دارند که باید به کامپیوتر متصل شوند و کار کنند. یافتن نرم افزار با امضای دیجیتال برای چنین دستگاه های فنی غیرممکن است.

برای کنار آمدن با این مشکل می توانید از یکی از سه روش استفاده کنید.

روش 1

روش 2

توجه! این گزینه فقط برای رایانه های شخصی با سیستم ورودی / خروجی پایه (BIOS) مناسب است.

اگر رایانه شما به یک رابط سیستم عامل توسعه یافته متحد (UEFI) مجهز است ، ابتدا باید گزینه Secure Boot را غیرفعال کنید.



برای بازگشت به تنظیمات قبلی ، bcdedit.exe -set TESTSIGNING OFF را در خط فرمان وارد کرده و تأیید کنید (Enter). وقتی عملیات مشخص شده به پایان رسید ، رایانه را مجدداً راه اندازی کنید.

روش 3

توجه! این گزینه برای Windows 10 Home کار نمی کند.



ویدیو های مرتبط