Блог ИТ склеротика. Установка драйверов без цифровой подписи на Windows 7 x64

Страницы

Расширенный поиск в статьях блога

19 сентября 2012 г.

Установка драйверов без цифровой подписи на Windows 7 x64

Начиная с Windows Vista Майкрософт ввел дополнительный уровень защиты для своих 64-битных систем — Device Driver Signature Enforcement. Это означает, что вы можете установить и использовать только те драйверы, которые прошли сертификацию в Майкрософт. Помимо повышения уровня безопасности, это, конечно, привело к тому, что достаточно большое количество устройств, работающих в 32-битной Семерке, не работают в 64-битной (сертификация драйверов процедура не бесплатная). Эта статья о том, каким образом можно попытаться обойти это ограничение.
0. Перед тем как начать, скачайте утилиту DSEO (Driver Signature Enforcement Overrider) c сайта разработчика - http://www.ngohq.com/home.php?page=dseo (установка не требуется).
1. Входим в Windows под «администратором» (я использовал главную запись Администратора с RID-500, в версии Professional её включить не сложно, впрочем не в этом дело — обычного «администратора» вполне достаточно).
2. Отключаем контроль учетных записей и перезагружаемся.
3. После перезагрузки открываем командную строку. Самый простой способ её запустить: Пуск — <вводим в графе поиска cmd> — <после того как поиск найдёт cmd> - щёлкаем по ярлыку cmd. Альтернативный вариант: Пуск ->Все программы -> Стандартные -> Командная строка.
4. В окне командной строки выполняем следующую команду:
bcdedit /set loadoptions DDISABLE_INTEGRITY_CHECKS , где DDISABLE — это не опечатка!
 
5. Запускаем утилиту DSEO. Запускать её можно из любой директории, любого диска :)
После запуска как обычно «принимаем лицензионное соглашение» — yes, а затем выбираем опцию «Enable Test Mode» (включить тестовый режим) и жмем «Next»:
2 
Программа предупредит о том, что загружать «самоподписанные» драйверы можно только в «Test Mode», но чтобы он вступил в силу необходимо перезагрузиться снова:
3 
Чтобы выйти из программы необходимо выбрать опцию «Exit» (выход) и нажать «Next».
Перезагружаемся.
6. После перезагрузки опять запускаем DSEO и выбираем опцию «Sign a System File» (подписать системный файл) и «Next»:
4 
7. Программа попросит указать путь к подписываемому драйверу. Для этого скопируйте файлы «проблемного» драйвера с установочного CD или извлеките их из архива (если скачивали из Интернета) куда-нибудь на жёсткий диск — главное запомните и/или скопируйте точный адрес местонахождения драйверов из адресной строки «проводника», не забыв указать имя самого драйвера (драйвер — это файл с расширением .sys) так как они могут находится не только в той директории, куда вы копировали/извлекали, но и в её поддиректориях!!! После указания местонахождения драйвера нажмите OK. Проделайте эту операцию для всех драйверов — изменяться в адресе будет лишь имя файла, ну или субдиректория с именем:
5 
P.S. Если устройство уже установлено, но не работает без заблокированного драйвера, то тогда драйвер нужно искать скорее всего в C:\Windows\system32\drivers, посмотрите в «Диспетчере Устройств» (Пуск — Панель Управления — Администрирование — Управление Компьютером) напротив какого устройства стоит вопросительный знак — то и будет устройство без драйвера. Дважды щёлкните по имени этого устройства и свойствах выберите «Драйвер» — «Сведения», где вы и увидите адрес(а) драйвера(ов).
Вообще-то я не рекомендую так делать, так как при попытке установки драйвера без подписи Windows его не просто не загружает в ОЗУ-память на выполнение, да плюс ещё и вытирает ссылку на него из ветки «HKLM\SYSTEM\CurrentControlSet\services\» реестра как службу !!! Нормальная работа такого устройства без конфигурации службы (типа запуска и настроек) вряд-ли возможна (вообще-то просто нет :( !!!), поэтому лучше удалить это устройство полностью любыми методами, а затем подписав драйверы, установить заново!!!
8. После подписи всех драйверов, вы можете проверить правильность выполнения операции: выберите подписанный драйвер, откройте его контекстное меню, выберите «Свойства», а затем — «Цифровые подписи». Если вы всё сделали правильно, то должны увидеть примерно следующее:
6 
9. Теперь драйвер можно устанавливать. Как правило, щёлкаем на «Setup.exe» и поехало…………..
Если Винда «ругнётся» (а она явно не упустит такого момента) и выдаст такое диалоговое окно как это:
7 
- то не боимся и на глупые вопросы отвечаем соответствующим образом!
10. После завершения процесса установки, можно (и нужно) убедится в правильности установки драйвера — для этого смотрим журнал Винды «Система» в «Управлении компьютером», если в нём в «минуты установочного времени» только «Сведения» — то всё в порядке (правда не всегда — там могут быть и «плачевные» сведения), но как правило «неудача» отображается в виде «Предупреждение» или «Ошибка» — тогда всё плохо:
8 
Если больше не будете использовать утилиту DSEO, тогда включите «Контроль учётных записей» для безопасности системы, если задумали ещё что-нибудь «подписать», то лучше это сделать сразу, так как при включённом «Контроле учётных записей» DSEO не запустится !!!
Замечания:
1. Чтобы наши «собственноподписанные» драйверы не блокировались Виндой, нельзя отключать тестовый режим (никогда !!!), о котором свидетельствует «не весьма приятная» информация о версии сборки ОС в правом нижнем углу Рабочего стола от которой, правда, можно избавиться — в DSEO есть такая опция — «Remove Watermarks».
Тестовый режим
Тестовый режим
2. Не все драйвера «приготовленные по такому рецепту» можно ставить без проблем, например ASUS’овские драйверы оказались «самими стойкими» в «неподчинении» установке — по крайней мере на моей машине, которая сама есть ASUS.
Как я понял, это скорее всего не из-за подписей, а из-за особенности их низкоуровневой работы — так как я получал ошибки не по поводу подписей, а просто — «окно с красным крестом» (и одной кнопкой — OK) — невозможно ставить и всё ! Хотя раньше, когда я работал под XP всё было как надо — ни одного «BSOD’а» из-за них я не видел, а вот Майкрософтские иногда «шалили». Это к вопросу о правильности…. но Майкрософту — лучше знать :) :) :)
3. При всё время включенном «Тестовом режиме» и особенно при работе в Сети есть определённый риск установить на свою машину такие же «приготовленные» кем-то таким же образом драйверы, причём драйверы режима ядра — а это уже не смешно !!!
Так что ни в коем случае не выходить в Сеть под «Администратором», ведь самый лучший антивирус — голова на плечах, с соображающем мозгом, естественно !

Max Bond

.

Счетчик тИЦ и PR Яндекс.Метрика Msn bot last visit powered by MyPagerank.NetYahoo bot last visit powered by MyPagerank.Net ping fast  my blog, website, or RSS feed for Free