Драйвер за цифров подпис като средство за подобряване на сигурността на системата

Не е, че цифровият подпис на шофьора е близък до вдовицата на пенсиониран лейтенант, който се е разбил, но аналогиите просто се подсказват. На въпроса: „Какво е цифров подпис на водачите и за какво е?“ - отговорът ще бъде много прост. Първо, това е определена последователност от кодове, която се вмъква в кода на програмата на водача от своя разработчик и за която операционната система (в този случай Windows) знае (или знае алгоритъма за получаване на тези кодове).

Начини за деактивиране на проверката за електронен подпис за Windows драйвери.

И второ, вече е съвсем просто и ясно, когато драйверът е инсталиран в системата, той проверява своя електронен подпис за автентичност. Ако всичко съвпада, инсталацията продължава. Ако не съвпадне, то, разбира се, спира. Идеята за цифров подпис въобще не е нова, тя се използва от дълго време (и все още се използва, въпреки че отдавна са разработени по-сложни механизми за защита от изкривяване) в системите за предаване на информация и често наричана „контролна сума“. В най-простата версия, тя беше само еднобайтово „добавяне по модул 2“ на цялото съдържание на файла.

Специфика на драйверите като програми за контрол на операционната система

Е, и тогава политиката влиза в игра - да започнем с бизнес политиката на производителите на оборудване и съответно шофьорите. Устройството е разработено, неговият драйвер е разработен, сега е необходима софтуерна компания, която да убеди Microsoft да вкара информация за този драйвер в Windows, така че да разпознае устройството и неговия драйвер от този производител. В крайна сметка има много трета конкуренти, които могат да разработят свой собствен драйвер за едно и също устройство - най-доброто или най-лошото, дори и да не е важно, главното е незаконно, което означава, че е неприемливо за използване в системата.

Напред. Драйверът е програма и следователно е обект на излагане на вируси. Освен това, такава програма е не-убиец карта за вируси, тъй като драйверът ще бъде стартиран така или иначе, със самата система. Но вирусът "не знае" цифровия подпис на драйвера, а Windows всеки път, когато е инсталиран, проверяват автентичността на подписа - това е начинът да се защитят срещу драйвери, заразени с вируси, и още един плюс на цифровия подпис.

Но, от друга страна, има много, наистина, трета страна шофьори, които са значително по-добри от официалните. Но те нямат електронен подпис, което означава, че не могат да бъдат доставени, ако не изключите проверката на електронен подпис на драйвера в Windows. И тази възможност се осигурява от самия Майкрософт, не стана „изгори мостове зад него“. По подразбиране опциите за зареждане на Windows осигуряват задължителна проверка на цифровия подпис на драйвера, но тя може да бъде отменена, ако разбирате, разбира се, опасността, от която страда системата - или от криво написан "неместен" драйвер или от вируси.

Малък нюанс - мимоходом

Изключването на проверката за подпис на драйвера на Windows 10 или всяка друга версия е толкова важно, че някои разработчици го включват в задължителното условие за функционирането на тяхната програма. Обикновено различните игрални приложения се държат по този начин. Ето един добър пример - игри от 4Game услуга. В зората на появата на услугата е необходимо предварително да се изтегли специален клиент за драйверите, но с течение на времето те решават просто да вграждат всичко необходимо в браузърите. Такава промяна доведе до промяна в основата на политиката за защита, наречена Frost - Frost.

Единственият проблем е, че новата политика не работи, без първо да деактивирате задължителната проверка на подписа на водача. Ще трябва обаче да "забраните" и вашите въпроси за това как тази официална услуга може да предложи да забраните официалната защита на системата срещу пиратство и вируси. Но в крайна сметка, самият Microsoft предоставя такава възможност. Е, тогава политиката на разработчика в този случай не е включена в текущия предмет на производството, особено ако Microsoft не е против.

Начини за деактивиране на проверката на цифровия подпис на водача

Има няколко начина за решаване на проблема, как да забраните цифровия подпис на драйверите за Windows 7, 8 и всички следващи версии. Много от тях са много подобни. Първата възможност е, че ще трябва да работите на компютър с права на системния администратор. Влизаме в работата с командния ред - отидете в Главното меню на системата, като използвате бутона “Старт”. След това изберете “My Programs” и “Standard”. В списъка, който се отваря - "Command Line". В отворения "черен прозорец" в реда за въвеждане въведете:

  • bcdedit.exe / set nointegritychecks ON, за да деактивирате задължителната проверка на подписа на драйвера.

За да включите отново чека, редът е същият, но c "OFF":

  • bcdedit.exe / set nointegritychecks OFF

Защо деактивирането на проверката е ВКЛ. И включването му е изключено може да се разбере от името на използвания параметър - “nointegritychecks”, което се превежда като “без вътрешни проверки”.

Друга възможност е свързана и с използването на системната програма bcdedit.exe в командния ред. Но тук действаме на два етапа. Първо въвеждаме и стартираме помощната програма със стойността на параметъра loadoptions:

  • bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS

След това, със стойността на параметъра за тест за подпис, който се тества:

  • bcdedit.exe -set тествания ON

Наложително е да се изчака съобщението „Операция успешно завършена“ в командния прозорец, което може да се появи след кратко закъснение. Сега проверката за електронен подпис на драйвера е деактивирана. За да може проверката на подписа да работи отново, въвеждаме едни и същи команди, но в обратен ред и с различни стойности на параметрите:

  • Bcdedit.exe -set първо тества за изключване
  • Тогава bcdedit.exe -set loadoptions ENABLE_INTEGRITY_CHECKS

Третата възможност предлага да се деактивира проверката за подпис на драйвери за Windows 8, когато компютърът се стартира. Тази функция е много удобна, ако трябва само да тествате драйвера.

Така че, когато стартираме, влизаме с клавиша F8 в менюто за зареждане на системата, и там избираме зареждането само с анулиране на удостоверяването на подпис на драйвера - Изключване на подписването на драйверите. Когато системата се стартира, можете да инсталирате всички драйвери, с или без подписи, те няма да бъдат проверени. Тук обаче трябва да разберете, че тази функция работи само докато системата не се рестартира.

Четвъртият вариант предвижда използването на редактора на локални групови политики на операционната система, въпреки че не работи изцяло на всички версии на Windows. Ние действаме по следния начин - в главното меню на системата избираме “Run” и в реда за изпълнение на типа gpedit.msc. Стартираме програмата на груповата политика за отваряне на прозорец със същото име. В прозореца вляво, отидете последователно по пътя на папките - “Конфигурация на потребителя” - “Административни шаблони” - “Система”. След това изберете "Driver Installation" и параметър "Digital Signature", който трябва да се промени.

За да промените или щракнете двукратно върху параметъра с мишката или изберете текста отляво - “Промяна на параметър”. За да деактивирате, изберете ключа "Off" и приемете промените (бутон OK или "Apply"). Включването на всички настройки на „груповата политика“ в работата се извършва без рестартиране на системата, въпреки че ако има някакви съмнения, можете също да рестартирате, като в същото време отново проверите в кое състояние е параметърът.

Обърнете внимание на една функция - превключвател "Предупреждение". Неговият избор, когато използва шофьор без подпис, ще позволи въпреки това да завърши инсталацията на водача, но иначе той няма да бъде приет за работа.

Е, последната, вече радикална възможност е да принуди шофьора да подпише, което също може да се направи чрез командния ред с помощта на pnputil помощната програма:

  • pnputil - а. "Пълното име" е низ във формата:
  • : /.

заключение

Оказвайки влияние върху политиката на операционната система с цифрови подписи на драйвери, е необходимо да се разбере, че се намесвате в работата на самата система, променяте средата й, преди всичко сигурността. И това не е толкова за вирусите, а за коректността на “левия” драйвер, който трябва да се използва. Грешки при изпълнението на водача могат да бъдат по-чисти от най-опасните вируси. Резултатът е един и същ - пълната неработоспособност на системата и необходимостта от повторно инсталиране. Въпреки това, манипулирането на работата с този инструмент за вътрешна защита е много полезно за разбиране на механизма на самата операционна система.