Driver di firma digitale come mezzo per migliorare la sicurezza del sistema

Non è che la firma digitale del conducente sia simile alla vedova di un luogotenente in pensione che si è fatto frustare, ma le analogie si limitano a suggerire se stesse. Alla domanda: "Che cos'è una firma digitale dei driver e a cosa serve?", La risposta sarà molto semplice. Innanzitutto, è una determinata sequenza di codici che viene inserita nel codice del programma driver dal suo sviluppatore e su cui il sistema operativo (in questo caso, Windows) conosce (o conosce l'algoritmo per ottenere questi codici).

Modi per disabilitare la verifica della firma digitale per i driver di Windows.

E in secondo luogo, è già abbastanza semplice e chiaro quando il driver è installato nel sistema, controlla la sua firma digitale per autenticità. Se tutto corrisponde, l'installazione continua. Se non coincide, allora, naturalmente, si ferma. L'idea di una firma digitale non è affatto nuova, è stata usata per molto tempo (e viene tuttora utilizzata, sebbene i meccanismi più sofisticati di protezione contro la distorsione siano stati sviluppati a lungo) nei sistemi di trasmissione delle informazioni e spesso denominata "checksum". Nella versione più semplice, era solo un "modulo-2 addizione" a byte singolo dell'intero contenuto del file.

Specificità dei driver come programmi di controllo del sistema operativo

Bene, e quindi la politica entra in gioco - per cominciare, la politica commerciale dei produttori di attrezzature e, di conseguenza, i conducenti. Il dispositivo è stato sviluppato, il suo driver è stato sviluppato, ora hai solo bisogno di una società di software per convincere Microsoft ad inserire informazioni su questo driver in Windows in modo che riconosca il dispositivo e il suo driver da questo produttore. Dopo tutto, ci sono molti concorrenti di terze parti che possono sviluppare il proprio driver per lo stesso dispositivo: il migliore o il peggiore, anche se non è importante, la cosa principale è illegale, il che significa che è inaccettabile per l'uso nel sistema.

Avanti. Un driver è un programma e, quindi, un oggetto di esposizione ai virus. Inoltre, tale programma è una scheda non killer per i virus, poiché il driver verrà comunque avviato, con il sistema stesso. Ma il virus "non conosce" la firma digitale del driver, e Windows ogni volta che viene installato, controlla la firma per autenticità - questo è il modo per proteggersi dai driver infetti da virus e un altro vantaggio della firma digitale.

Ma, d'altra parte, ci sono molti, in effetti, driver di terze parti, che sono significativamente superiori a quelli ufficiali. Ma non hanno una firma digitale, il che significa che non possono essere consegnati se non si disattiva il controllo della firma digitale del driver in Windows. E questa possibilità è fornita da Microsoft stessa, non è diventata "brucia ponti dietro". Per impostazione predefinita, le opzioni di avvio di Windows prevedono una verifica obbligatoria della firma digitale del driver, ma possono essere cancellate, se, ovviamente, si comprende il pericolo che il sistema soffre - da un driver "non nativo" scritto in modo storto o da virus.

Una piccola sfumatura - nel passaggio

Disattivare la verifica della firma del driver di Windows 10 o di qualsiasi altra versione è così importante che alcuni sviluppatori lo includono nelle condizioni indispensabili per il funzionamento del loro programma. Di solito le varie applicazioni di gioco si comportano in questo modo. Ecco un buon esempio: i giochi del servizio 4Game. All'alba dell'aspetto del servizio, era necessario pre-scaricare un client speciale per i driver, ma nel tempo hanno deciso di incorporare semplicemente tutto ciò di cui avevano bisogno nei browser. Tale cambiamento ha portato a un cambiamento nella radice della politica di protezione, denominata Frost - Frost.

L'unico problema è che la nuova politica non funziona senza prima disabilitare la verifica della firma del driver obbligatoria. Ci sarà, tuttavia, da "disabilitare" e le vostre domande su come questo servizio ufficiale può offrire per disabilitare la protezione ufficiale del sistema contro la pirateria e i virus. Ma alla fine, la stessa Microsoft offre un'opportunità del genere. Bene, quindi la politica dello sviluppatore in questo caso non è inclusa nell'attuale argomento del procedimento, specialmente se Microsoft non è contraria.

Modi per disabilitare la verifica della firma digitale del driver

Esistono diversi modi per risolvere il problema, come disabilitare la firma digitale dei driver per Windows 7, 8 e tutte le versioni successive. Molti di loro sono molto simili tra loro. La prima possibilità è che dovrai lavorare su un computer con i diritti di amministratore di sistema. Entriamo nel lavoro con la riga di comando - vai al menu principale del sistema usando il pulsante "Start". Quindi selezionare "I miei programmi" e "Standard". Nell'elenco che si apre - "Riga di comando". Nella "finestra nera" aperta nella riga di richiesta, inserisci:

  • bcdedit.exe / set nointegritychecks ON per disabilitare la verifica della firma del driver obbligatoria.

Per riattivare il controllo, la riga è la stessa, ma c "OFF":

  • bcdedit.exe / set nointegritychecks OFF

Perché disabilitare il controllo è ON e accenderlo è OFF dal nome del parametro usato - "nointegritychecks", che si traduce come "senza controlli interni".

Un'altra possibilità è anche correlata all'uso della utility di sistema bcdedit.exe nella riga di comando. Ma qui agiamo in due fasi. Innanzitutto, digitiamo ed eseguiamo l'utilità con il valore del parametro loadoptions:

  • bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS

Quindi, con il valore del parametro test test di firma:

  • bcdedit.exe -set testigning ON

È indispensabile attendere il messaggio "Operazione completata con successo" nella finestra di comando, che potrebbe apparire dopo un breve ritardo. Ora la verifica della firma digitale del driver è disabilitata. Affinché la verifica della firma funzioni di nuovo, inseriamo gli stessi comandi, ma nell'ordine inverso e con valori diversi dei parametri:

  • Bcdedit.exe -set testing prima di OFF
  • Quindi bcdedit.exe -set loadoptions ENABLE_INTEGRITY_CHECKS

La terza opportunità suggerisce di disabilitare la verifica della firma dei driver di Windows 8 all'avvio del computer. Questa funzione è molto comoda se hai solo bisogno di testare il driver.

Quindi, quando si avvia, si entra nella chiave F8 nel menu di avvio del sistema, e lì selezioniamo l'avvio solo con la cancellazione della verifica della firma del conducente - Disabilita l'applicazione della firma del driver. All'avvio del sistema, è possibile installare qualsiasi driver, con o senza firme, che non verranno controllati. Qui, tuttavia, è necessario comprendere che questa funzione funziona solo fino al riavvio del sistema.

La quarta opzione prevede l'uso dell'editor dei criteri di gruppo locale del sistema operativo, sebbene non funzioni completamente su tutte le versioni di Windows. Operiamo come segue: nel menu principale del sistema selezioniamo "Esegui" e nella riga per il tipo di esecuzione gpedit.msc. Iniziamo il programma del criterio di gruppo aprendo una finestra con lo stesso nome. Nella finestra a sinistra, prosegui lungo il percorso delle cartelle - "Configurazione utente" - "Modelli amministrativi" - "Sistema". Quindi, selezionare "Installazione driver" e il parametro "Firma digitale", che deve essere modificato.

Per cambiare o fare doppio clic sul parametro con il mouse o selezionare il testo a sinistra - "Modifica parametro". Per disabilitare, selezionare l'interruttore "Off" e accettare le modifiche (pulsante OK o "Applica"). L'inclusione di tutte le impostazioni di "Criteri di gruppo" nel lavoro avviene senza riavviare il sistema, sebbene, in caso di dubbi, è possibile anche riavviarlo, allo stesso tempo verificando nuovamente in quale stato si trova il parametro.

Presta attenzione a una funzione: attiva "Avvisa". La sua scelta quando si utilizza un autista senza firma consentirà, tuttavia, di completare l'installazione del driver, solo che non sarà comunque accettato per il lavoro.

Bene, l'ultima possibilità, già radicale, è quella di forzare il driver a firmare, che può anche essere fatto tramite la riga di comando usando l'utility pnputil:

  • pnputil -a. Il "nome completo" è una stringa nel formato:
  • : /.

conclusione

Influenzando la politica del sistema operativo con le firme digitali dei conducenti, è necessario capire che si interferisce con il funzionamento del sistema stesso, si modifica l'ambiente, prima di tutto la sicurezza. E non si tratta tanto di virus, ma della correttezza del driver "sinistro" che dovrebbe essere usato. Errori nell'implementazione del driver possono essere più puliti del virus più pericoloso. Il risultato è lo stesso: la completa inoperabilità del sistema e la necessità di reinstallarlo. Tuttavia, manipolare il lavoro con questo strumento di protezione interno è molto utile per comprendere il meccanismo del sistema operativo stesso.