Digital signaturdrivrutin som ett sätt att förbättra systemets säkerhet

Det är inte så att förarens digitala signatur är besläktad med änkan till en pensionär löjtnant som piskade sig själv, men analogierna föreslår helt enkelt sig själva. Till frågan: "Vad är en digital signatur för förare och vad är det för?" - svaret blir väldigt enkelt. För det första är det en viss sekvens av koder som är införd i koden för drivrutinsprogrammet av dess utvecklare, och om vilket operativsystem (i detta fall Windows) vet (eller känner till algoritmen för att erhålla dessa koder).

Sätt att inaktivera digital signaturverifiering för Windows-drivrutiner.

För det andra är det redan ganska enkelt och tydligt när drivrutinen installeras i systemet, den kontrollerar sin digitala signatur för äkthet. Om allt matchar fortsätter installationen. Om det inte sammanfaller, så slutar det självklart. Idén om en digital signatur är inte helt ny, den har använts länge (och används fortfarande, även om mer sofistikerade mekanismer för skydd mot distorsion länge har utvecklats) i informationsöverföringssystem och kallas ofta "checksum". I den enklaste versionen var det bara en single-byte "modulo-2 addition" av hela filinnehållet.

Specifikationer för drivrutiner som styrsystem för operativsystemet

Tja, och då börjar politiken spela - till att börja med, affärspolitiken för utrustningstillverkare och därmed förare. Enheten har utvecklats, dess drivrutin har utvecklats, nu behöver du bara ett mjukvaruföretag för att övertyga Microsoft om att infoga information om den här drivrutinen i Windows så att den känner igen enheten och dess drivrutin från den här tillverkaren. Det finns trots allt många konkurrenter från tredje part som kan utveckla sin egen drivrutin för samma enhet - det bästa eller det värsta, även om det inte är viktigt, är det viktigaste olagligt, vilket innebär att det är oacceptabelt att använda i systemet.

Nästa. En förare är ett program och därmed ett föremål för exponering för virus. Dessutom är ett sådant program ett icke-mördarkort för virus, eftersom föraren kommer att lanseras ändå, med själva systemet. Men viruset "vet inte" den digitala signaturen för drivrutinen, och Windows varje gång den installeras, kontrollerar de signaturen för äkthet - det här är sättet att skydda mot förare infekterade med virus och ytterligare ett plus av den digitala signaturen.

Men å andra sidan finns det många, faktiskt tredjepartsförare, som är betydligt bättre än de officiella. Men de har ingen digital signatur, vilket innebär att de inte kan levereras om du inte stänger av drivrutinen för digital signaturkontroll i Windows. Och denna möjlighet tillhandahålls av Microsoft själv, det blev inte "bränna broar bakom det". Som standard ger Windows-startalternativen en obligatorisk verifiering av förarens digitala signatur, men den kan avbrytas, om du förstår risken för att systemet lider av, antingen från en skrovad skriftlig "icke-inbyggd" drivrutin eller från virus.

En liten nyans - i förbigående

Att avaktivera förarens signaturverifiering av Windows 10 eller någon annan version är så viktigt att vissa utvecklare innefattar det i ett oumbärligt skick för hur deras program fungerar. Vanligtvis fungerar olika spelapplikationer på det här sättet. Här är ett bra exempel - spel från 4Game service. I början av utseendet på tjänsten var det nödvändigt att förinstallera en speciell klient för förare, men med tiden bestämde de sig för att bara bädda in allt som behövdes i webbläsare. En sådan förändring ledde till en förändring i skyddspolitiken, kallad Frost - Frost.

Det enda problemet är att den nya policyn inte fungerar utan att först inaktivera den obligatoriska körsignaturverifiering. Det kommer dock att vara att "inaktivera" och dina frågor om hur denna officiella tjänst kan erbjuda för att inaktivera det officiella skyddet av systemet mot piratkopiering och virus. Men i slutändan erbjuder Microsoft sig ett sådant tillfälle. Tja, då är utvecklarens policy i detta fall inte med i det aktuella ämnet i förfarandet, särskilt om Microsoft inte är emot det.

Sätt att inaktivera förarens digitala signaturverifiering

Det finns flera sätt att lösa problemet, hur du stänger av den digitala signaturen för Windows 7, 8 och alla efterföljande versioner. Många av dem liknar varandra mycket. Den första möjligheten är att du måste arbeta på en dator med systemadministratörsrättigheter. Vi går in i arbetet med kommandoraden - gå till huvudmenyn i systemet med knappen "Start". Välj sedan "Mina program" och "Standard". I listan som öppnas - "Kommandorad". I det öppna "svarta fönstret" i snabblinjen anger du:

  • bcdedit.exe / set nointegritychecks PÅ för att inaktivera obligatorisk körsignaturverifiering.

För att starta kontrollen igen är linjen densamma, men c "OFF":

  • bcdedit.exe / set nointegritychecks AV

Varför inaktivera kontrollen är ON, och att slå på är OFF kan förstås från namnet på den använda parametern - "nointegritychecks", som översätts som "utan interna kontroller".

En annan möjlighet är också relaterad till användningen av bcdedit.exe-systemverktyget i kommandoraden. Men här handlar vi i två steg. Först skriver vi och kör verktyget med parametervärdet loadoptions:

  • bcdedit.exe -sett lastalternativ DDISABLE_INTEGRITY_CHECKS

Då, med värdet av signatur testparametern testande:

  • bcdedit.exe -set testning ON

Det är absolut nödvändigt att vänta på meddelandet "Operation successfully completed" i kommandofönstret, det kan visas efter en kort fördröjning. Nu är drivrutinen för digital signaturverifiering inaktiverad. För att verifieringen av signaturen ska fungera igen, anger vi samma kommandon, men i omvänd ordning och med olika parametervärden:

  • Bcdedit.exe -set testregistrerar OFF först
  • Då bcdedit.exe -set loadoptions ENABLE_INTEGRITY_CHECKS

Den tredje möjligheten tyder på att inaktivera signaturverifiering av Windows 8-drivrutiner när datorn startar. Den här funktionen är väldigt bekväm om du bara behöver testa föraren.

Så när vi startar, går vi in ​​på F8-tangenten i systemets startmeny, och där väljer vi startstarten precis vid avbokningen av kontroll av körsignaturen. Avaktivera körsignaturhantering. När systemet startar kan du installera drivrutiner, med eller utan signaturer, de kommer inte att kontrolleras. Här måste du dock förstå att den här funktionen bara fungerar tills systemet startas om.

Det fjärde alternativet möjliggör användningen av operativsystemets lokala grupppolisredaktör, även om det inte fungerar fullt ut på alla versioner av Windows. Vi agerar som följer - i huvudmenyn i systemet väljer vi "Kör" och i raden för körning typ gpedit.msc. Vi börjar programmet för grupppolicy som öppnar ett fönster med samma namn. I fönstret till vänster går du successivt längs mappens bana - "Användarkonfiguration" - "Administrativa mallar" - "System". Välj sedan "Driver Installation" och "Digital Signature" -parametern, som måste ändras.

För att ändra eller dubbelklicka på parametern med musen eller välj texten till vänster - "Ändra parameter". För att inaktivera, välj knappen "Av" och acceptera ändringarna (OK-knappen eller "Ansök"). Inkluderingen av alla "Grupppolicy" -inställningar i arbetet sker utan att omstart av systemet, men om det finns några tvivel kan du också starta om och samtidigt återigen kontrollera vilket tillstånd parametern är.

Var uppmärksam på en funktion - byt "varna". Hans val när man använder en förare utan signatur gör det ändå möjligt att slutföra installationen av föraren, men det kommer inte att accepteras för arbete ändå.

Tja, den sista, redan radikala möjligheten är att tvinga föraren att underteckna, vilket också kan göras via kommandoraden med hjälp av pnputilverktyget:

  • pnputil -a. "Fullständigt namn" är en sträng i formatet:
  • : /.

slutsats

Påverka operativsystemet med digitala signaturer av drivrutiner är det nödvändigt att förstå att du stör systemets funktion, ändra dess miljö, först och främst av säkerheten. Och det handlar inte så mycket om virus, det handlar om korrektheten hos den "vänstra" föraren som ska användas. Fel i genomförandet av föraren kan vara renare än det farligaste viruset. Resultatet är detsamma - systemets fullständiga driftskompatibilitet och behovet av att installera om det. Ändå är manipulering av arbetet med det här interna skyddsverktyget väldigt användbart för att förstå mekanismen i operativsystemet själv.