- Что такое подписанный драйвер?
- Дополнительные ресурсы
- Отключить проверку подписи драйверов через редактор реестра
- Подготовка inf-файла пакета драйвера
- Подписывание cat-файла с помощью программы signtool
- Подписывание пакета драйвера устройства
- Помогла ли вам эта статья?
- Пошаговая схема подписывания пакета драйвера
- Пошаговая схема размещения пакета драйвера устройства в хранилище драйверов
- Проверка цифровой подписи
- Размещение пакета драйвера устройства в хранилище драйверов
- Создание cat-файла для пакета драйвера
- Способ 1: особые параметры загрузки windows
- Способ 2: «командная строка»
- Способ 3: «редактор групповой политики»
- Способ 3: редактор локальной групповой политики
- Способ 4: «редактор реестра»
- Способ 4: создание цифровой подписи
- Способ №1 — командная строка (постоянное отключение)
- Способ №2 — командная строка (временное отключение)
- Способ №3 — командная строка (тестовый режим)
- Способ №3 — меню перезагрузки
- Способ №4 — командная строка (вариант загрузки windows 7)
- Способы деактивации проверки
- Шаг 1. попытка разместить неподписанный пакет драйвера
- Шаг 1. создание цифрового сертификата для подписывания кода
- Шаг 2. добавление сертификата в хранилище доверенных корневых центров сертификации
- Шаг 2. настройка клиентского компьютера для поиска пакетов драйверов в дополнительных папках
- Шаг 3. добавление сертификата в компьютерное хранилище доверенных издателей
- Шаг 3. попытка разместить пакет драйвера, подписанный надлежащим образом
- Шаг 4. подписывание пакета драйвера устройства сертификатом
- Шаг 4. удаление драйвера устройства и пакета драйвера, установленных на предыдущем этапе
- Шаг 5. установка пакета драйвера устройства из дополнительной папки
Что такое подписанный драйвер?
Подписанный драйвер — это драйвер устройства c цифровой подписью. Цифровая подпись — это электронная метка защиты, указывающая издателя программного обеспечения и изменения первоначального содержимого программного пакета драйвера. Если драйвер подписан издателем с подтверждением достоверности подписи центром сертификации, можно быть уверенным, что драйвер выпущен этим издателем и не подвергался изменениям.Windows выдаст одно из следующих предупреждений: драйвер не подписан, достоверность подписи издателя не подтверждена центром сертификации, драйвер изменен с момента выпуска.Коротко говоря если драйвер не был подписан компанией MicroSoft, то такой драйвер не будет иметь цифровой подписи драйверов для Windows. С таким драйвером и возникают проблемы при установке.
В данной статье рассмотрим как отключить проверку цифровой подписи драйверов в Windows 10, Windows 8 и 8.1, а также Windows 7.
Содержание:
- Отключение проверки подписи драйверов Windows 10
- Отключение проверки подписи драйверов Windows 8.1 / 8
- Отключение проверки подписи драйверов Windows 7
Дополнительные ресурсы
Дополнительная информация по установке устройств:
Отключить проверку подписи драйверов через редактор реестра
Это универсальный вариант отключения подписи, так как работает во всех операционных системах, начиная с Виндовс 7. И в последних редакциях «десятки» тоже функционирует.
Подготовка inf-файла пакета драйвера
INF-файл управляет процессом установки пакета драйвера. Цифровая подпись пакета драйвера находится в файле каталога (файл с расширением .CAT). Убедитесь, что используемый для установки пакета драйвера INF-файл содержит ссылку на файл каталога.
В дополнение к этому, для драйвера тестового устройства «Toaster», использующегося в данном руководстве, Вы должны также изменить штамп времени и номер версии.
Совместный установщик (co-installer) – это предоставляемый производителем устройства программный код, который может быть выполнен в процессе установки устройства и который позволяет более гибко управлять программой установки. Совместный установщик драйвера тестового устройства «Toaster» отображает дополнительные программы, которые может установить пользователь. В данных сценариях совместный установщик не используется, поэтому в следующей процедуре Вы удалите его из INF-файла.
Примечание
Если Ваш пакет драйвера уже имеет цифровую подпись производителя и, следовательно, INF-файл уже ссылается на действительный файл каталога, Вы можете пропустить данную процедуру.
Для подготовки INF-файла пакета драйвера выполните следующие действия:
Подписывание cat-файла с помощью программы signtool
Теперь, когда у Вас имеется файл каталога, Вы можете подписать его с помощью программы SignTool. Независимо от того, используете ли Вы тестовое устройство «Toaster» или любое другое устройство, выполните следующие шаги.
Важно
При подписывании пакета драйвера Вам следует всегда устанавливать штамп времени, определяющий дату создания цифровой подписи. Если сертификат будет отозван по соображениям безопасности, или если закончится срок его действия, действительными будут только те подписи, которые были созданы ранее даты отзыва или окончания срока действия сертификата.
Для подписывания CAT-файла с помощью программы SignTool выполните следующие действия:
/s MyCompanyCertStore Этот параметр задает имя хранилища сертификатов, в котором программа SignTool осуществляет поиск сертификата, указанного в параметре /n. /n MyCompany start toaster.cat |
Наверх страницы
Подписывание пакета драйвера устройства
Для того чтобы подписать пакет драйвера, Вам необходимо иметь цифровой сертификат, предназначенный для подписывания кода. Для получения дополнительной информации о различных типах сертификатов и о процессе их получения обратитесь к разделу «Дополнительные ресурсы» данного руководства. В этом разделе будет описан процесс создания сертификата, который Вы сможете использовать в целях тестирования.
Помогла ли вам эта статья?
ДАНЕТ
Пошаговая схема подписывания пакета драйвера
Создание цифрового сертификата для подписывания кода
Добавление сертификата в хранилище доверенных корневых центров сертификации
Добавление сертификата в хранилище доверенных издателей
Подписывание пакета драйвера устройства сертификатом
Пошаговая схема размещения пакета драйвера устройства в хранилище драйверов
Попытка разместить неподписанный пакет драйвера
Попытка разместить подписанный, но впоследствии измененный пакет драйвера
Попытка разместить пакет драйвера, подписанный надлежащим образом
Проверочная установка подписанного пакета драйвера
Проверка цифровой подписи
В Windows 7 для проверки цифровой подписи есть специальная утилита sigverif.exe. Для ее запуска нужно в поисковой строке меню Пуск набрать sigverif.exe и нажать Ввод
В окне программы жмем Начать и она автоматически проверяет системные файлы на наличие подписей.
Результат проверки сохраняется в текстовый файл sigverif.txt. Хранится он в папке Общие документы, также его можно посмотреть прямо из окна программы, щелкнув по кнопке Дополнительно.
Размещение пакета драйвера устройства в хранилище драйверов
Размещение пакета драйвера устройств в хранилище драйверов на клиентском компьютере позволяет обеспечить наиболее эффективную работу пользователя. После того, как подписанный пакет драйвера помещен в хранилище, Windows считает его надежным. До тех пор, пока для определенного устройства не заданы политики, ограничивающие его установку, пользователь может просто подключить это устройство, а операционная система автоматически установит соответствующий драйвер незаметно для пользователя.
В состав ОС Windows включена утилита PnPUtil, с помощью которой Вы можете работать с хранилищем драйверов, выполняя такие действия, как добавление, удаление и просмотр пакетов драйверов, находящихся в хранилище.
Важно
Создание cat-файла для пакета драйвера
Следующим Вашим действием является создание CAT-файла для пакета драйвера тестового устройства «Toaster» с помощью программы Signability. Эта программа анализирует INF-файл пакета драйвера и генерирует уникальные хеши для всех файлов, на которые ссылается INF-файл.
Если Ваш пакет драйвера уже имеет цифровую подпись производителя, то CAT-файл уже существует, и Вам не нужно создавать новый файл. Вы можете пропустить данную процедуру и перейти к следующему шагу «Подписывание CAT-файла с помощью программы SignTool», чтобы заменить цифровую подпись разработчика драйвера своей собственной.
Примечание
Программа Signability должна выполняться из командной строки, запущенной с повышенными разрешениями.
Для создания CAT-файла для пакета драйвера выполните следующие действия:
signability /driver:c:toasterdevice /os:256 /auto /cat /driver:c:toasterdevice Этот параметр указывает местоположение INF-файла для пакета драйвера. Вы должны указать полный путь. Символ «.» в данном случае не может использоваться для указания текущей папки в относительном пути. /os:256 Этот параметр указывает, что операционной системой является 32-разрядная версия ОС Windows Vista. Для получения полного списка поддерживаемых операционных систем и их кодов выполните команду signability /?. /auto Этот параметр указывает, что процедура должна быть выполнена автоматически, без вмешательства пользователя. /cat Этот параметр указывает, что создается файл каталога, указанный в INF-файле. Signability v2.19 (engine v01.01.0005) Закройте программу Блокнот, когда закончите просмотр отчета. start toaster.cat Откроется диалоговое окно Security Catalog, показывающее, что каталог не подписан. Поскольку CAT-файл не подписан, кнопка просмотра цифровой подписи View Signature недоступна.
|
Способ 1: особые параметры загрузки windows
Чаще всего необходимость отключения проверки цифровой подписи возникает единожды. В этой ситуации логичнее всего воспользоваться предоставлением временного разрешения. Оно будет работать один раз: до последующей перезагрузки компьютера. За этот промежуток времени вы можете инсталлировать любое количество непроверенных драйверов, перезапустить ПК, и проверка сертификата будет работать как и прежде, защищая операционную систему.
Первым делом запустите ОС в особом режиме. Пользователям Windows 10 потребуется выполнить следующие шаги:
- Запустите «Параметры», вызвав «Пуск».

Это же можно сделать, вызвав альтернативное меню ПКМ.
- Откройте «Обновление и безопасность».
- В меню слева перейдите в «Восстановление», а справа, под «Особые варианты загрузки», кликните «Перезагрузить сейчас».
- Дождитесь старта Виндовс и выберите раздел «Поиск и устранение неисправностей».
- В «Диагностика» перейдите в «Дополнительные параметры».
- Здесь откройте «Параметры загрузки».
- Ознакомьтесь с тем, что применится при следующем старте системы, и нажмите «Перезагрузить».
- В этом режиме будет отключено управление мышью, а также изменится разрешение экрана до низкого. Пункт, отвечающий за отключение проверки подписи драйверов, седьмой в списке. Соответственно, нажмите на клавиатуре F7.
- Начнется перезапуск, по завершении которого вы можете выполнить инсталляцию.








Последовательность действий для пользователей Windows 7 другая:
- Перезагрузите компьютер обычным способом.
- После начала запуска системы нажмите F8 (чтобы не пропустить момент, быстро жмите клавишу сразу же после того, как появится приветственный логотип материнской платы).
- Стрелками выберите «Отключение обязательной проверки подписи драйверов».
- Остается нажать Enter и дождаться перезапуска системы.

Теперь можно заняться инсталляцией программного обеспечения.
После следующего включения компьютера будет произведен обычный запуск системы, и она вновь начнет проверять подпись у драйверов, которые вы захотите установить. Обратите внимание, что эта служба не занимается проверкой установленных драйверов, для этого необходимо запускать отдельное приложение, которое по понятным причинам нас не интересует.
Способ 2: «командная строка»
Отключить верификацию цифровой подписи можно при помощи введения команд в «Командную строку» операционной системы.
- Жмите «Пуск». Переходите во «Все программы».
- Щелкайте «Стандартные».
- В раскрывшейся директории ищите «Командная строка». Произведя нажатие по указанному элементу правой кнопкой мышки (ПКМ), выбирайте позицию «Запуск от имени администратора» в отобразившемся перечне.
- Активируется «Командная строка», в которую нужно ввести следующее:
bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKSЩелкайте Enter.
- После появления информации, говорящей об удачном завершении задачи, вбивайте такое выражение:
bcdedit.exe -set TESTSIGNING ONСнова применяйте Enter.
- Верификация подписи теперь деактивирована.
- Для её повторной активации вбейте:
bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKSПрименяйте нажатием Enter.
- Затем вбейте:
bcdedit -set TESTSIGNING ONСнова нажимайте Enter.
- Верификация подписи снова активирована.








Существует ещё один вариант действий через «Командную строку». В отличие от предыдущего, он требует всего лишь введения одной команды.
- Вводите:
bcdedit.exe /set nointegritychecks ONЖмите Enter.
- Проверка деактивирована. Но после инсталляции необходимого драйвера все-таки рекомендуем снова активировать верификацию. В «Командной строке» вбейте:
bcdedit.exe /set nointegritychecks ON OFF - Верификация подписи опять активирована.


Урок: Активация «Командной строки» в Виндовс 7
Способ 3: «редактор групповой политики»
Другой вариант деактивации верификации подписи осуществляется методом манипуляций в «Редакторе групповой политики». Правда, он доступен только в редакциях «Корпоративная», «Профессиональная» и «Максимальная», а вот для редакций «Домашняя базовая», «Начальная» и «Домашняя расширенная» этот алгоритм выполнения поставленной задачи не подойдет, так как в них отсутствует необходимая функциональность.
- Для активации нужного нам инструмента воспользуемся оболочкой «Выполнить». Нажмите Win R. В поле отобразившейся формы введите:
gpedit.mscЖмите «OK».
- Запускается необходимый для наших целей инструмент. В центральной части открывшегося окна щелкайте по позиции «Конфигурация пользователя».
- Далее жмите «Административные шаблоны».
- Теперь войдите в директорию «Система».
- Затем откройте объект «Установка драйвера».
- Теперь щелкайте по названию «Цифровая подпись драйверов…».
- Открывается окно настройки вышеуказанного компонента. Выставьте радиокнопку в положение «Отключить», а затем жмите «Применить» и «OK».
- Теперь закрывайте все открытые окна и программы, далее щелкайте «Пуск». Кликните по треугольной фигуре справа от кнопки «Завершение работы». Выбирайте «Перезагрузка».
- Компьютер будет перезапущен, после чего верификация подписи деактивируется.








Способ 3: редактор локальной групповой политики
Еще один вариант решения поставленной задачи — редактирование политики компьютера. Им могут воспользоваться обладатели Windows версии выше Home (Домашней).
- Зажмите Win R и впишите gpedit.msc. Подтвердите ввод кнопкой «ОК» либо клавишей Enter.
- Используя левое меню, разверните поочередно папки, нажимая на стрелочку перед их названием: «Конфигурация пользователя» > «Административные шаблоны» > «Система» > «Установка драйвера».
- Справа в окне дважды ЛКМ кликните по «Цифровая подпись драйверов устройств».
- Здесь задайте значение «Отключено», означающее, что осуществляться сканирование как таковое не будет.
- Сохраните настройки через «ОК» и перезагрузите компьютер.




Запустите драйвер, который не удавалось установить, и повторите попытку.
Способ 4: «редактор реестра»
Следующий способ решения поставленного задания выполняется через «Редактор реестра».
Способ 4: создание цифровой подписи
Не всегда методы, рассмотренные в этой статье, работают. При невозможности отключить проверку, можно пойти другим путем — создать подпись вручную. Он же подойдет, если подпись установленного программного обеспечения время от времени «слетает».
Способ №1 — командная строка (постоянное отключение)
1. В меню пуск выполните поиск — введите cmd
2. Запустите командную строку от имени администратора
3. Введите команду
bcdedit.exe /set nointegritychecks ON4. Перезагрузите компьютер, проверка цифровой подписи драйверов в Windows 7 отключена.
5. Для того чтобы заново активировать проверку введите в командной строке:
bcdedit.exe /set nointegritychecks OFFСпособ №2 — командная строка (временное отключение)
1. В меню пуск выполните поиск — введите cmd
2. Запустите командную строку от имени администратора
3. Введите поочередно следующие команды:
bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS bcdedit.exe -set TESTSIGNING ON4. Подтвердите изменения и перезагрузите компьютер, проверка цифровой подписи драйверов в Windows 7 отключена.
Способ №3 — командная строка (тестовый режим)
1. В меню пуск выполните поиск — введите cmd
2. Запустите командную строку от имени администратора
3. Введите поочередно следующие команды:
bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS bcdedit.exe -set TESTSIGNING ON4. Подтвердите изменения и перезагрузите компьютер, проверка цифровой подписи драйверов в Windows 10 отключена.
Способ №3 — меню перезагрузки
1. Перезагрузите компьютер и в момент загрузки компьютера нажимайте клавишу F8
2. В меню выбрать «Отключение обязательной проверки подписи драйверов»
Способ №4 — командная строка (вариант загрузки windows 7)
1. В меню пуск выполните поиск — введите cmd
2. Запустите командную строку от имени администратора
3. Введите команду:
bcdedit /set "{current}" bootmenupolicy legacy4. Перезагрузите компьютер и в момент загрузки компьютера нажимайте клавишу F8
5. В меню выбрать «Отключение обязательной проверки подписи драйверов»
4. Проверка цифровой подписи драйверов в Windows 10 отключена.
Способы деактивации проверки
Сразу следует оговориться, что деактивируя проверку цифровой подписи, вы действуете на свой страх и риск. Дело в том, что неизвестные драйвера могут быть источником уязвимости или прямой опасности, если являются продуктом разработки злоумышленников. Поэтому не рекомендуем снимать защиту при установке объектов, скачанных из интернета, так как это очень рискованно.
В то же время бывают ситуации, когда вы уверены в подлинности драйверов (например, когда они поставляются в комплекте с оборудованием на дисковом носителе), но у них по какой-то причине отсутствует цифровая подпись. Вот для таких случаев и стоит применять описанные ниже способы.
Шаг 1. попытка разместить неподписанный пакет драйвера
Windows прерывает попытку установки неправильно подписанного пакета драйвера.
Чтобы попытаться разместить неподписанный пакет драйвера, выполните следующие действия:
Шаг 1. создание цифрового сертификата для подписывания кода
На этом шаге Вы создаете сертификат, который может использоваться для подписывания пакета драйвера тестового устройства «Toaster».
Запустите консоль управления MMC и откройте оснастку Certificates для просмотра имеющихся сертификатов.
Важно
Не запускайте оснастку с помощью команды certmgr.msc, поскольку по умолчанию эта команда открывает хранилище сертификатов учетной записи текущего пользователя, а в данной процедуре требуется, чтобы сертификаты размещались в хранилище локального компьютера.
Для открытия оснастки «Certificates» консоли управления MMC выполните следующие действия:
Теперь Вы можете создать сертификат.
Примечание
Вы не можете использовать открытое ранее окно командной строки Build Environment, поскольку оно было запущено без повышенных разрешений, необходимых для работы программы MakeCert. Запуск программы MakeCert без повышенных разрешений приведет к возникновению критической ошибки отказа в доступе (код 0x5 – Access Denied).
Для создания цифрового сертификата с помощью программы MakeCert выполните следующие действия:
Шаг 2. добавление сертификата в хранилище доверенных корневых центров сертификации
Выполнение данного шага требуется в случае использования локально созданных сертификатов, таких как сертификаты, созданные с помощью программы MakeCert, по которым нельзя проследить прямую цепочку до сертификата доверенного корневого издателя сертификации.
По умолчанию Ваш новый сертификат имеет статус не имеющего доверия (Untrusted), поскольку Windows не может проверить его достоверность в компьютерном хранилище доверенных корневых центров сертификации. Чтобы в операционных системах Windows Vista и Windows Server «Longhorn» любой сертификат считался действительным, необходимо, чтобы по нему можно было проследить прямую цепочку до сертификата, находящегося в этом хранилище.
Выполнение данного шага не требуется в случае использования коммерческих сертификатов, выданных Вам центром сертификации, поскольку эти сертификаты уже имеют свой корневой сертификат в компьютерном хранилище доверенных корневых центров сертификации.
Примечание
Сертификаты, размещенные в хранилище доверенных корневых центров сертификации текущего пользователя, не подтверждают достоверность цифровых подписей пакетов драйверов.
Для добавления тестового сертификата в хранилище доверенных корневых ЦС выполните следующие действия:
Шаг 2. настройка клиентского компьютера для поиска пакетов драйверов в дополнительных папках
В операционных системах Windows Vista и Windows Server «Longhorn» существует параметр реестра, позволяющий Вам указать для операционной системы дополнительные папки, в которых должен производиться поиск драйверов вновь обнаруживаемых аппаратных устройств.
По умолчанию в этом параметре указана только одна папка – «%SystemRoot%Inf». Вы можете добавить в список этого параметра дополнительные папки, разделив их точкой с запятой. Эти папки могут являться как локальными, так и сетевыми папками вида \ИмяСервераИмяПапки.
Чтобы настроить клиентский компьютер для поиска пакетов драйверов в дополнительных папках, выполните следующие действия:
Шаг 3. добавление сертификата в компьютерное хранилище доверенных издателей
Для того чтобы Ваш новый сертификат мог выступать в качестве подтверждения достоверности цифровой подписи пакетов драйверов, его также необходимо разместить в компьютерном хранилище доверенных издателей.
Примечание
Сертификаты, размещенные в хранилище доверенных издателей текущего пользователя, не подтверждают достоверность цифровых подписей пакетов драйверов.
Для добавления тестового сертификата в хранилище доверенных издателей выполните следующие действия:
Шаг 3. попытка разместить пакет драйвера, подписанный надлежащим образом
Чтобы попытаться разместить пакет драйвера, подписанный надлежащим образом, выполните следующие действия
Так как прикрепленная к пакету цифровая подпись является действительной, файлы пакета не были изменены, и отпечатки файлов пакета совпадают с отпечатками, содержащимися в цифровой подписи, Windows успешно поместит пакет драйвера в хранилище, не запрашивая у пользователя никаких действий. По завершении своей работы программа выводит имя, под которым был опубликован пакет драйвера, включающее в себя номер OEM, который Вы можете использовать для того, чтобы впоследствии при необходимости удалить пакет драйвера из хранилища. Запишите номер, присвоенный Вашему пакету драйверов.
Номер, присвоенный Вашему пакету драйвера, может отличаться от приведенного выше в зависимости от количества пакетов, уже установленных на компьютере. |
Вы можете просмотреть список пакетов, находящихся в хранилище драйверов, запустим программу PnPUtil с параметром -e.
Чтобы убедиться, что пакет находится в хранилище драйверов, выполните следующие действия:
Шаг 4. подписывание пакета драйвера устройства сертификатом
Если Вы используете тестовое устройство «Toaster» и его пакет драйвера – выполните следующие действия для замены существующей цифровой подписи своей собственной. Также эти действия следует выполнить, если Вы хотите внедрить в Вашей организации политику, для работы которой все драйверы устройств должны быть подписаны сертификатом Вашей организации.
Если Вы используете пакет драйвера, уже подписанный производителем, то этот пакет уже содержит рабочий файл каталога (CAT-файл), на который ссылается INF-файл. В этом случае Вы можете пропустить первые два шага и начать с шага «Подписывание CAT-файла с помощью программы SignTool».
Шаги, необходимые для подписывания драйвера устройства:
Подготовка INF-файла пакета драйвера
Создание CAT-файла для пакета драйвера
Подписывание CAT-файла с помощью программы SignTool
Шаг 4. удаление драйвера устройства и пакета драйвера, установленных на предыдущем этапе
Прежде чем Вы сможете установить драйвер устройства из дополнительной папки, Вы должны удалить уже установленный драйвер и пакет драйвера этого устройства из хранилища драйверов.
Примечание
Вам необходимо удалить установленный ранее пакет драйвера только лишь потому, что в данном руководстве демонстрируется дополнительный метод его установки.
Для удаления установленного ранее устройства выполните следующие действия:
Устройство перестанет отображаться в окне диспетчера устройств. Устройство будет отключено, а его драйвер удален из памяти. Вместо символов ## в этой команде Вы должны подставить номер, записанный Вами ранее. Если Вы забыли этот номер, запустите команду pnputil -e и найдите в списке устройство «Toaster». Пакет будет удален из хранилища драйверов. |
Шаг 5. установка пакета драйвера устройства из дополнительной папки
Теперь, когда пакет драйвера находится в созданной Вами папке, а клиентский компьютер настроен для поиска в этой папке пакетов драйверов подключаемых устройств, Вы можете установить устройство.
Для установки пакета драйверов из общей сетевой папки выполните следующие действия:

