Как сделать цифровую подпись драйвера в windows 10

12.08.2016, 21:32. Показов 48598. Ответов 41

1

signtool.exe sign /n "My EV Certificate Name" /a /fd SHA256 /tr http://timestamp.globalsign.com/?signature=sha2 /td SHA256 winqual.exe

1
2
3

DriverPackage\
    mydriver.sys
    mydriver.inf

1
2
3
4
5
6
7
8
9
10

DriverPackage1\
    drv1.sys
    drv1.inf
DriverPackage2\
    drv2.sys
    drv2.inf
...
DriverPackageN\
    drvN.sys
    drvN.inf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

;
; TODO: Add copyright info here.
;
 
[Version]
Signature                = "$Chicago$"
Provider                 = %Provider%
Class                    = "LegacyDriver"
ClassGuid                = {8ECC055D-047F-11D1-A537-0000F8753ED1}
DriverVer                = 07/24/2015,1.0.0.0
DriverPackageType        = KernelService
DriverPackageDisplayName = %PackageDisplayName%
CatalogFile              = setup.cat
 
[DefaultInstall]
CopyFiles = Setup.CopyFiles
 
[DefaultInstall.Services]
AddService = mydriver,,Setup.AddService
 
[SourceDisksFiles]
mydriver.sys = 1
 
[SourceDisksNames]
1 = "Disk"
 
[DestinationDirs]
DefaultDestDir = 12 ; "system32\drivers" directory.
 
[Setup.CopyFiles]
mydriver.sys
 
[Setup.AddService]
ServiceName   = mydriver
DisplayName   = %DrvDisplayName%
Description   = %DrvDescription%
ServiceType   = 1 ; SERVICE_KERNEL_DRIVER
StartType     = 1 ; SERVICE_SYSTEM_START
ErrorControl  = 1 ; SERVICE_ERROR_NORMAL
ServiceBinary = %12%\mydriver.sys ; 12 - "system32\drivers" directory.
 
[Strings]
Provider           = "My Driver Provider Name"
PackageDisplayName = "My Driver Package Display Name"
DrvDisplayName     = "MyDriver"
DrvDescription     = "My Driver Description"

1

inf2cat.exe /v /DRV:C:\MyDriverPackage /OS:XP_X64

1

makecab.exe /f путь-к-файлу-ddf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

.OPTION EXPLICIT
.Set CabinetFileCountThreshold=0
.Set FolderFileCountThreshold=0
.Set FolderSizeThreshold=0
.Set MaxCabinetSize=0
.Set MaxDiskFileCount=0
.Set MaxDiskSize=0
.Set CompressionType=MSZIP
.Set Cabinet=on
.Set Compress=on
.Set CabinetNameTemplate=submission-8.cab
.Set DestinationDir=DriverPackage1
C:\SUBMISSIONS\MyDriver1\64\MyDriver1.sys
C:\SUBMISSIONS\MyDriver1\64\setup.inf
.Set DestinationDir=DriverPackage2
C:\SUBMISSIONS\MyDriver2\64\MyDriver2.sys
C:\SUBMISSIONS\MyDriver2\64\setup.inf

10

Обновлено: 05.10.2020
Опубликовано: 2016 год или раньше

В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.

Выбор оборудования и подготовка сервера
Установка Windows и настройка системы
Базовые настройки файлового сервера
Тюнинг файлового сервера или профессиональные советы
Настройка средств обслуживания
Тестирование

Шаг 1. Выбор оборудования и подготовка сервера

В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:

• Процессор может быть самый простой;
• Оперативная память также не сильно используется;
• Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.

Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.

Дополнительные требования

1. Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
2. Сервер должен быть подключен к источнику бесперебойного питания;
3. Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.

Подробнее о выборе оборудования читайте статью Как выбрать сервер.

Шаг 2. Установка Windows и настройка системы

Установка системы

На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.

Настройка системы

1. Проверяем правильность настройки времени и часового пояса;
2. Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
3. Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
4. Для удаленного администрирования, включаем удаленный рабочий стол;
5. Устанавливаем все обновления системы.

Шаг 3. Базовые настройки файлового сервера

Это стандартные действия, которые выполняются при настройке обычного файлового сервера.

Установка роли и вспомогательных компонентов

Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.

Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

Нажимаем Управление — Добавить роли и компоненты.

В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.

Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:

• Службы хранения;
• Файловый сервер;

Если данные службы не установлены, выбираем их и нажимаем Далее.

В окне Выбор компонентов просто нажимаем Далее.

Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

Настройка шары (общей папки)

Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:

В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:

Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:

Предоставляем полный доступ всем пользователям:

* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).

Нажимаем OK и еще раз OK.

Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:

В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.

Картинка с сайта: www.dmosk.ru

Нажимаем OK и Изменить. 

Выставляем необходимые права на папку, например:

Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!

Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.

Шаг 4. Тюнинг файлового сервера или профессиональные советы

Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.

DFS

С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:

1. При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
2. Администратор легко сможет создать отказоустойчивую систему при необходимости.

Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.

Теневые копии

Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.

Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.

Аудит

Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.

О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows. 

Анализатор соответствия рекомендациям

В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:

Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:

Рассмотрим решения некоторых рекомендаций.

1. Для XXX должно быть задано рекомендованное значение.

Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:

Set-SmbServerConfiguration -CachedOpenLimit 5

* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.

На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.

Остальные параметры задаем аналогичными действиями.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В командной строке от имени администратора вводим:

sc config srv start= demand

3. Создание коротких имен файлов должно быть отключено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Шаг 5. Настройка средств обслуживания

Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.

Резервное копирование

Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.

Мониторинг

Мониторить стоит:

1. Сетевую доступность сервера;
2. Свободное дисковое пространство;
3. Состояние жестких дисков.

Шаг 6. Тестирование

Тестирование состоит из 3-х основных действий:

1. Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
2. Выполнить действия анализатора соответствий рекомендациям.
3. Провести живой тест работы сервиса с компьютера пользователя.

Важно! По умолчанию функция проверки подписи драйверов в Windows 10 активирована, поэтому если имеется необходимость повторного включения, это предполагает, что ранее выполнялись действия по деактивации. Выбранный ранее метод определяет алгоритм дальнейших действий при решении данной задачи. Так, если проверка отключалась посредством «Командной строки», и включать ее необходимо через нее же.

Читайте также: Как отключить проверку цифровой подписи драйверов

Способ 1: Вход в систему в штатном режиме

Один из вариантов деактивации обязательной проверки цифровых подписей драйверов подразумевает вход в систему в одноименном режиме. Соответственно, чтобы включить обозначенную функцию снова, потребуется загрузить Windows 10 в штатном режиме. Для этого достаточно попросту перезапустить компьютер и поставленная задача будет считаться выполненной.

Для этого разверните меню «Пуск» любым доступным способом, например, нажав клавишу Win на клавиатуре, кликните по кнопке «Выключение» и выберите пункт «Перезагрузка».

Картинка с сайта: lumpics.ru

Читайте также: Как перезагрузить компьютер с Windows 10 через «Командную строку»

Обратите внимание, что Windows 10 поддерживает довольно много режимов работы, доступных для выбора в специальном загрузочном меню. На нашем сайте есть отдельная статья, в которой подробно разобраны все варианты запуска операционной системы.

Подробнее: Варианты загрузки Windows 10

Картинка с сайта: lumpics.ru

Способ 2: «Редактор локальных групповых политик»

Важно! Утилита «Редактор локальных групповых политик» доступна только в редакциях Windows 10 Enterprise и Professional. Если на компьютере установлена другая версия операционной системы, воспользоваться описанным ниже способом не получится.

«Редактор локальных групповых политик» — это утилита для менеджмента настроек операционной системы, которая позволяет изменять параметры работы некоторых компонентов, включая функцию обязательной проверки цифровой подписи устанавливаемых драйверов. Чтобы с ее помощью выполнить поставленную задачу, необходимо сделать следующее:

1. Вызовите окно «Выполнить», воспользовавшись сочетанием горячих клавиш Win + R. После этого впишите в поле для ввода представленную ниже команду и нажмите по кнопке «ОК»:

   gpedit.msc

   

   Картинка с сайта: lumpics.ru

   Примечание! Если по каким-то причинам запустить интерпретатор «Командной сроки» не получается, тогда рекомендуем ознакомиться с другой статьей на нашем сайте, где представлены дополнительные способы выполнения поставленной задачи.

   Подробнее: Все способы запуска окна «Выполнить» в Windows 10



Картинка с сайта: lumpics.ru

2. В появившемся окне утилиты, воспользовавшись навигационной панелью в левой части интерфейса, перейдите по указанному ниже пути в директорию «Установка драйвера»:

   «Конфигурация пользователя» → «Административные шаблоны» → «Система» → «Установка драйвера»



Картинка с сайта: lumpics.ru

3. Откройте меню редактирования параметра «Подписывание кода для пакетов драйверов». Для этого дважды кликните по нему левой кнопкой мыши.


Картинка с сайта: lumpics.ru

4. В новом окне установите переключатель в положение «Включено», нажмите по кнопке «Применить», а затем «ОК».


Картинка с сайта: lumpics.ru

После выполнения всех действий, чтобы новые параметры зарегистрировались в системе, необходимо перезапустить Windows 10.

Читайте также: Решение проблем с проверкой цифровой подписи драйверов в Windows

Способ 3: «Редактор реестра»

Если отключение проверки цифровой подписи драйверов выполнялось с помощью «Редактора реестра», то в нем был создан параметр, отвечающий за деактивацию этой функции. Соответственно, необходимо внести изменения в его конфигурацию.

1. Запустите «Редактор реестра» любым доступным способом. Например, можно вызвать окно «Выполнить» посредством комбинации клавиш Win + R, ввести в него переставленную ниже команду и нажать по кнопке «ОК»:

   regedit

   

   Картинка с сайта: lumpics.ru

   Читайте также: Как открыть «Редактор реестра» в Windows 10

2. Воспользовавшись древовидной структурой каталогов в левой части интерфейса окна, перейдите по пути, который указан ниже:

   HKEY_CURRENT_USER\Software\Policies\Microsoft\Driver Signing



Картинка с сайта: lumpics.ru

3. Откройте меню редактирования параметра под названием «BehaviorOnFailedVerify». Для этого кликните по нему дважды левой кнопкой мыши.


Картинка с сайта: lumpics.ru

4. В появившемся окне в поле «Значение» введите цифру «1» (без кавычек), выберите «Шестнадцатеричную» систему исчисления и кликните по кнопке «ОК».

Перезагрузите компьютер, чтобы внесенные изменения сохранились в системе и начали функционировать.

Обратите внимание! Если при выполнении описанных действий не было обнаружено нужной папки или параметра, это означает, что отключение проверки цифровой подписи драйвера выполнялось другим способом. Соответственно, данный метод не даст никаких результатов.

Способ 4: «Командная строка»

Посредством «Командной строки» можно внести изменения в любой параметр операционной системы, также есть возможность восстановить работу функции проверки цифровой подписи драйверов. Делается это следующим образом:

1. Воспользовавшись поисковой строкой на панели задач, введите запрос «Командная строка». В появившемся списке результатов кликните правой кнопкой мыши по одноименному приложению и выберите опцию «Запуск от имени администратора».
   

   Картинка с сайта: lumpics.ru

   Читайте также: Как открыть «Командную строку» с правами администратора в Windows 10

2. Активируйте работу загрузочной области операционной системы. Для этого в появившемся окне консоли введите представленную ниже команду и нажмите клавишу Enter для ее выполнения:

   bcdedit -set loadoptions ENABLE_INTEGRITY_CHECKS



Картинка с сайта: lumpics.ru

3. Включите функцию проверки цифровой подписи драйверов, воспользовавшись указанной ниже командной. После ее ввода не забудьте нажать Enter для выполнения:

   bcdedit -set TESTSIGNING ON



Картинка с сайта: lumpics.ru

Читайте также: Как установить драйвер без проверки цифровой подписи в Windows

Обратите внимание! Если после ввода одной из представленных выше команд появилась ошибка, попробуйте выполнить другую. В большинстве случаев она менее эффективна, но может стать альтернативой:

bcdedit.exe /set nointegritychecks ON OFF

Картинка с сайта: lumpics.ru

Наша группа в TelegramПолезные советы и помощь