Digitaal handtekeningstuurprogramma als een middel om de systeembeveiliging te verbeteren

Het is niet zo dat de digitale handtekening van de bestuurder verwant is aan de weduwe van een gepensioneerde luitenant die zichzelf heeft geslagen, maar de analogieën suggereren eenvoudigweg zichzelf. Op de vraag: "Wat is een digitale handtekening van stuurprogramma's en waar is het voor?" - het antwoord zal heel eenvoudig zijn. Ten eerste is het een bepaalde reeks codes die door de ontwikkelaar in de code van het stuurprogramma wordt ingevoegd, en waarover het besturingssysteem (in dit geval Windows) weet (of kent het algoritme voor het verkrijgen van deze codes).

Manieren om verificatie van digitale handtekeningen voor Windows-stuurprogramma's uit te schakelen.

En ten tweede is het al vrij eenvoudig en duidelijk wanneer het stuurprogramma in het systeem is geïnstalleerd, het controleert de digitale handtekening op echtheid. Als alles overeenkomt, gaat de installatie verder. Als het niet samenvalt, stopt het natuurlijk. Het idee van een digitale handtekening is helemaal niet nieuw, het is al lang gebruikt (en wordt nog steeds gebruikt, hoewel er al lang meer geavanceerde mechanismen voor bescherming tegen vervorming zijn ontwikkeld) in informatieoverdrachtsystemen en vaak "checksum" genoemd. In de eenvoudigste versie was het slechts een single-byte "modulo 2-toevoeging" van de volledige inhoud van het bestand.

Specificiteit van stuurprogramma's als besturingsprogramma's voor besturingssystemen

Nou, en dan komt het beleid om de hoek kijken - om te beginnen, het zakelijke beleid van fabrikanten van apparatuur en, bijgevolg, stuurprogramma's. Het apparaat is ontwikkeld, het stuurprogramma is ontwikkeld, nu hebt u alleen een softwarebedrijf nodig om Microsoft te overtuigen om informatie over dit stuurprogramma in Windows in te voegen, zodat het het apparaat en de driver van deze fabrikant herkent. Er zijn tenslotte veel concurrenten van derden die hun eigen stuurprogramma voor hetzelfde apparaat kunnen ontwikkelen - het beste of het slechtste, zelfs als het niet belangrijk is, het belangrijkste is illegaal, wat betekent dat het onaanvaardbaar is voor gebruik in het systeem.

Next. Een stuurprogramma is een programma en daarom een ​​object van blootstelling aan virussen. Bovendien is zo'n programma een niet-moordende kaart voor virussen, omdat de driver toch wordt gelanceerd, met het systeem zelf. Maar het virus "kent" niet de digitale handtekening van het stuurprogramma en Windows controleert elke keer dat het is geïnstalleerd de handtekening op echtheid - dit is de manier om te beschermen tegen virussen geïnfecteerde stuurprogramma's en nog een plus van de digitale handtekening.

Maar aan de andere kant zijn er veel, zelfs externe drivers, die aanzienlijk beter zijn dan de officiële. Maar ze hebben geen digitale handtekening, wat betekent dat ze niet kunnen worden afgeleverd als je de digitale handtekening van de driver niet uitschakelt in Windows. En deze mogelijkheid wordt door Microsoft zelf geboden, het is geen "brandende bruggen erachter" geworden. Standaard bieden de opstartopties van Windows een verplichte verificatie van de digitale handtekening van de bestuurder, maar deze kan worden geannuleerd, als u natuurlijk begrijpt het gevaar dat het systeem lijdt - hetzij van een schuin geschreven "niet-native" stuurprogramma of van virussen.

Een kleine nuance - terloops

Het uitschakelen van de stuurprogrammahandtekeningverificatie van Windows 10 of elke andere versie is zo belangrijk dat sommige ontwikkelaars deze in de onmisbare voorwaarde opnemen voor het functioneren van hun programma. Gewoonlijk gedragen verschillende gaming-applicaties zich op deze manier. Hier is een goed voorbeeld - spellen van 4 Game-service. Aan het begin van het verschijnen van de service was het noodzakelijk om een ​​speciale client vooraf te downloaden voor stuurprogramma's, maar na verloop van tijd besloten ze om alles wat ze nodig hadden op te nemen in browsers. Een dergelijke wijziging heeft geleid tot een wijziging van de root van het beschermingsbeleid, genaamd Frost - Frost.

Het enige probleem is dat het nieuwe beleid niet werkt zonder eerst de verplichte verificatie van de stuurprogrammahandtekening uit te schakelen. Er zullen echter wel "uit te schakelen" zijn en uw vragen over hoe deze officiële dienst kan bieden om de officiële bescherming van het systeem tegen piraterij en virussen uit te schakelen. Maar uiteindelijk biedt Microsoft zelf zo'n mogelijkheid. Welnu, het beleid van de ontwikkelaar is in dit geval niet opgenomen in het huidige onderwerp van de procedure, vooral niet als Microsoft er niet tegen is.

Manieren om verificatie van digitale handtekeningen van stuurprogramma's uit te schakelen

Er zijn verschillende manieren om het probleem op te lossen, het uitschakelen van de digitale handtekening van de stuurprogramma's voor Windows 7, 8 en alle volgende versies. Velen van hen lijken erg op elkaar. De eerste mogelijkheid is dat u moet werken op een computer met systeembeheerdersrechten. We gaan het werk binnen met de opdrachtregel - ga naar het hoofdmenu van het systeem met behulp van de "Start" -knop. Kies vervolgens "Mijn programma's" en "Standaard". In de lijst die wordt geopend - "Opdrachtregel". Voer in het geopende "zwarte venster" in de promptregel in:

  • bcdedit.exe / zet nointegritychecks AAN om de verplichte verificatie van de stuurprogrammahandtekening uit te schakelen.

Om de controle opnieuw in te schakelen, is de regel gelijk, maar c "UIT":

  • bcdedit.exe / set nointegritychecks UIT

Waarom het uitschakelen van de cheque is ingeschakeld, en aanzetten UIT is te begrijpen aan de hand van de naam van de gebruikte parameter - "nointegritychecks", wat zich vertaalt als "zonder interne controles".

Een andere mogelijkheid is ook gerelateerd aan het gebruik van het bcdedit.exe-systeemhulpprogramma op de opdrachtregel. Maar hier handelen we in twee fasen. Eerst tikken en voeren we het hulpprogramma uit met de parameterwaarde loadoptions:

  • bcdedit.exe -set laadopties DDISABLE_INTEGRITY_CHECKS

Vervolgens, met de waarde van de handtekeningsparameter testsigning:

  • bcdedit.exe -set testsigning ON

Het is noodzakelijk om te wachten op het bericht "Operatie met succes voltooid" in het opdrachtvenster, dit kan na een korte vertraging verschijnen. Nu is de verificatie van digitale handtekeningen van stuurprogramma's uitgeschakeld. Om de verificatie van de handtekening opnieuw te laten werken, voeren we dezelfde opdrachten in, maar in de omgekeerde volgorde en met verschillende waarden van de parameters:

  • Bcdedit.exe - stel eerst de tests in op OFF
  • Vervolgens bcdedit.exe -set laadopties ENABLE_INTEGRITY_CHECKS

De derde mogelijkheid is om de handtekeningverificatie van Windows 8-stuurprogramma's uit te schakelen wanneer de computer opstart. Deze functie is erg handig als u alleen de driver hoeft te testen.

Dus tijdens het booten voeren we de F8-sleutel in het opstartmenu van het systeem in, en daar selecteren we de boot alleen met de annulering van de handtekeningverificatie van de stuurprogramma's - Handhaving van de handtekening van de bestuurder uitschakelen. Wanneer het systeem opstart, kunt u stuurprogramma's installeren, met of zonder handtekeningen, en deze worden niet gecontroleerd. Hier moet u echter begrijpen dat deze functie alleen werkt totdat het systeem opnieuw is opgestart.

De vierde optie voorziet in het gebruik van de lokale groepsbeleidseditor van het besturingssysteem, hoewel deze niet volledig werkt op alle versies van Windows. We handelen als volgt - in het hoofdmenu van het systeem selecteren we "Uitvoeren" en in de regel voor uitvoeringstype gpedit.msc. We starten het programma van het groepsbeleid door een venster met dezelfde naam te openen. In het venster links gaat u achtereenvolgens langs het pad van de mappen - "Gebruikersconfiguratie" - "Beheersjablonen" - "Systeem". Selecteer vervolgens "Installatie stuurprogramma" en de parameter "Digitale handtekening", die moet worden gewijzigd.

Om te veranderen of dubbelklik op de parameter met de muis of selecteer de tekst links - "Wijzig parameter". Selecteer om uit te schakelen de schakelaar "Uit" en accepteer de wijzigingen (OK-knop of "Toepassen"). Het opnemen van alle "Groepsbeleid" -instellingen in het werk vindt plaats zonder het systeem opnieuw op te starten, maar als er twijfels zijn, kunt u ook opnieuw opstarten, terwijl u tegelijkertijd opnieuw controleert in welke staat de parameter is.

Let op een functie - schakel "Waarschuwen". Zijn keuze bij het gebruik van een stuurprogramma zonder handtekening maakt het echter mogelijk om de installatie van het stuurprogramma te voltooien, maar het wordt sowieso niet geaccepteerd voor werk.

Welnu, de laatste, nu al radicale mogelijkheid is om de bestuurder te dwingen te tekenen, wat ook via de pnputil-opdrachtregel kan worden gedaan:

  • pnputil -a. De "volledige naam" is een tekenreeks in de indeling:
  • : /.

conclusie

Beïnvloed het beleid van het besturingssysteem met digitale handtekeningen van stuurprogramma's, het is noodzakelijk om te begrijpen dat u de werking van het systeem zelf verstoort, zijn omgeving wijzigt, in de eerste plaats de beveiliging. En het gaat niet zozeer om virussen, het gaat om de juistheid van het "linker" stuurprogramma dat hoort te worden gebruikt. Fouten in de implementatie van de driver kunnen schoner zijn dan het gevaarlijkste virus. Het resultaat is hetzelfde - volledige onbruikbaarheid van het systeem en de noodzaak om het opnieuw te installeren. Desalniettemin is het manipuleren van het werk met deze interne beveiligingstool zeer nuttig om het mechanisme van het besturingssysteem zelf te begrijpen.