La Draiveru sertifikātu un parakstu uzlabota pārvaldība operētājsistēmā Windows Tā ir kļuvusi par kritisku problēmu gan sistēmu administratoriem, gan izstrādātājiem, gan pieredzējušiem lietotājiem. Kopš Microsoft ir pastiprinājusi parakstīšanas politiku 64 bitu Windows versijā, jebkuram draiverim, kas darbojas kodola režīmā, ir jābūt pareizi parakstītam un daudzos gadījumos arī jāiziet cauri Microsoft validācijas sistēmām. Pievienojiet tam tādas izmaiņas kā obligātā SHA-2 vai apliecinājuma parakstīšanas ieviešana, un viss var viegli kļūt sarežģīti bez labas vispārējas izpratnes.
Papildus tam visam, reālās pasaules vidē ir jātiek galā ar Novecojuši draiveri, ierīces bez atjaunināta atbalsta, kriptogrāfiskās kartes, sertifikāti viedkartēsTrešo pušu rīki, attālināts darbs, ierīces bez piekļuves internetam un pat sistēmas, kas joprojām ir ražošanas procesā un kurās darbojas operētājsistēma Windows 7 vai Windows XP, ir faktori, kas jāņem vērā. Šajā kontekstā ir ļoti svarīgi izprast, kā darbojas digitālie paraksti, kāda veida sertifikāti tiek izmantoti, kā tie tiek pārvaldīti aparatūras panelī un kādas iespējas ir pieejamas, ja kaut kas noiet greizi, lai izvairītos no stundu tērēšanas šifrētu kļūdu dēļ un sistēmas drošības apdraudēšanas.
Kas ir draiveru parakstīšana sistēmā Windows un kāpēc tā ir tik svarīga?
Sistēmā Windows Parakstītais draiveris ietver digitālo parakstu. kas saistīti ar draivera pakotni (binārie faili, INF faili, katalogi utt.). Šim parakstam ir divi galvenie mērķi: pārbaudīt, vai pakotne nav modificēta kopš izdevēja izlaišanas (integritāte), un apstiprināt pārdevēja, kas to paraksta, identitāti (autentiskums). 64 bitu sistēmās, sākot ar Windows Vista, pamatnoteikums ir skaidrs: kodola režīma draiveriem jābūt parakstītiem, pretējā gadījumā tie netiks ielādēti.
Kad mēs instalējam ierīci, pati sistēma izmanto digitālie paraksti un sertifikāti Lai pārbaudītu, vai draivera pakotne ir iegūta no uzticama izdevēja un nav bojāta pārsūtīšanas laikā. Ja kaut kas šķiet nepareizi (nederīgs paraksts, beidzies sertifikāta derīguma termiņš, neatbalstīts algoritms, modificēts katalogs utt.), Windows izdod brīdinājumus, bloķē instalēšanu vai vienkārši neļauj draiverim ielādēt startēšanas laikā.
Turklāt kopš Windows 10 agrīnajām versijām Microsoft ir pieprasījis, lai draiveri izietu caur savu kanālu. paraksts caur Aparatūras izstrādes centru un ka tiek izmantoti SHA-2 algoritmi. Tas ietekmē ne tikai Microsoft parakstītus bināros failus, bet arī to, kā tiek pieņemti vai noraidīti trešo pušu draiveri, kas parakstīti ar SHA1 vai sertifikātiem, kuri vairs netiek uzskatīti par drošiem.
Draivera paraksta izmaiņas: no SHA1 uz SHA2 un saderības problēmas
Viens no punktiem, kas radījis visvairāk galvassāpju, ir pāreja no SHA1 uz SHA2 draivera parakstāSākot ar Windows 10 versiju 1507, visi aparatūras centra parakstītie draiveri izmanto SHA-2. Turklāt noteikti kodola režīma binārie faili, kas ietver trešo pušu pārdevēju dubultos parakstus (SHA1 un SHA-2), var radīt problēmas sistēmās, kas ir vecākas par Windows 10, vai pat avārijas operētājsistēmā Windows 10 un jaunākās versijās, ja nav instalēti noteikti atjauninājumi.
Konkrētāk, Microsoft dokumentēja gadījumus, kuros draiveri, kas parakstīti un iegulti ar diviem sertifikātiem Tie netika pareizi ielādēti vai sistēmās bez kritiskiem ielāpiem varēja izraisīt zilus ekrānus. Lai no tā izvairītos, tika ieteikts instalēt atjauninājumus, piemēram, KB 3081436, kas publicēja arī skarto failu SHA hešus, ļaujot pārbaudīt, vai sistēma izmanto problemātiskus bināros failus.
Šis jauktais scenārijs nozīmē, ka, izvietojot draiverus vidēs ar dažādām Windows versijām, ir svarīgi pārskatīt parakstīšanas prasības atkarībā no operētājsistēmas versijas un pārliecinieties, vai jaucējkodolagoritma, sertifikāta veida un parakstīšanas metodes kombinācija ir saderīga ar katru mērķa platformu.
Administratora loma partneru centrā un draiveru sertifikātu pārvaldībā
Runājot par aparatūras izstrādātājiem un uzņēmumiem, kas izplata draiverus, loma Partneru centra administrators (agrāk Aparatūras izstrādātāju centrs) Šī persona ir galvenā. Viņa ir atbildīga par draiveru parakstīšanai izmantoto koda parakstīšanas sertifikātu pārvaldību un iesniegšanu Microsoft parakstīšanai vai validēšanai.
Partneru centra aparatūras panelī administrators var Pievienot, atjaunot un atsaukt paraksta sertifikātusLai to izdarītu, piesakieties, atveriet savu kontu vai izstrādātāja iestatījumus un dodieties uz sadaļu “Pārvaldīt sertifikātus”. Tur varat pievienot jaunus sertifikātus, lejupielādēt failus, kas jāparaksta (piemēram, klasisko Signablefile.bin) un vēlreiz augšupielādēt parakstītos rezultātus.
Tipisks sertifikāta reģistrācijas process ietver Microsoft nodrošinātā binārā faila lejupielādi. Parakstiet to ar SignTool, izmantojot /fd sha256 un piemērotu SHA-2 laika zīmogu, un augšupielādējiet iegūto failu. Windows aparatūras izstrādes centrs pārbaudīs, vai sertifikāts pieder uzņēmumam, un saistīs to ar kontu turpmākai draiveru pakotņu parakstīšanai, izmantojot atestāciju vai standarta sertifikācijas procesus.
EV sertifikātu iegūšana un atjaunošana vadītāju parakstīšanai
Lai parakstītu draiverus profesionālā līmenī, īpaši, ja nepieciešama apliecināšana vai draiveri ir jāpublicē, izmantojot Windows Update, ir svarīgi, lai jums būtu EV (paplašinātās validācijas) koda parakstīšanas sertifikāts Izdevusi atzīta sertifikācijas iestāde. Šie sertifikāti prasa stingrāku organizācijas validāciju, bet pretī piedāvā augstāku uzticības līmeni.
Parastais process sākas ar noteikšanu kāda veida koda parakstīšanas sertifikāts Nepieciešamā EV sertifikāta veids ir atkarīgs no draivera, atbalstītajām Windows versijām un Microsoft prasībām. Ja jums jau ir derīgs sertifikāts un nevēlaties mainīt pakalpojumu sniedzējus, varat to izmantot atkārtoti. Pretējā gadījumā pēc tam, kad sertificēšanas iestāde ir pārbaudījusi uzņēmuma identitāti, jums ir jāiegūst jauns EV sertifikāts.
Kad izdošana ir apstiprināta, sertifikāta sniedzējs sniedz norādījumus par Iegūt EV sertifikātuŠis sertifikāts bieži tiek glabāts aparatūras ierīcē (USB marķierī vai HSM) vai instalēts drošā sertifikātu krātuvē. Šis sertifikāts kopā ar SignTool vai līdzvērtīgiem rīkiem tiks izmantots, lai parakstītu iesniegšanas CAB failus, katalogus un daudzos gadījumos draiveru bināros failus pirms to iesniegšanas Microsoft.
Sertifikātu pievienošana, atjaunināšana un noņemšana aparatūras panelī
Kad EV sertifikāts ir aktīvs, nākamais solis ir to pareizi reģistrēt sistēmā. Partneru centra aparatūras panelisLai pievienotu jaunu sertifikātu, administratoram ir jāpiesakās, jāpāriet uz sadaļu “Konta iestatījumi” vai “Izstrādātāja iestatījumi” un pēc tam uz sadaļu “Sertifikātu pārvaldība”. Tur administrators var atlasīt “Pievienot jaunu sertifikātu” un izpildīt vedņa norādījumus.
Procesa laikā sistēma ģenerē Signablefile.bin fails kas ir jālejupielādē un jāparaksta ar uzņēmuma jauno digitālo sertifikātu. SignTool tiek izmantots ar parametru /fd sha256 un SHA-2 laika zīmogu, tādējādi nodrošinot, ka sertifikāts nekļūst nelietojams pēc tā derīguma termiņa beigām, ja jebkurā brīdī ir nepieciešama pagaidu validācija.
Kad fails ir parakstīts, atgriezieties partneru centrā un augšupielādējiet to no tās pašas sadaļas. Ja viss ir pareizi, Jaunais sertifikāts tiks saistīts ar izstrādātāja kontu., gatavs izmantošanai turpmākajās kontrolieru piegādēs.
Ja sertifikāts vairs nav nepieciešams vai pastāv aizdomas par tā apdraudēšanu, ir iespējams noņemiet to no paša paneļaVienkārši atrodiet to sarakstā un darbību kolonnā izmantojiet opciju “Noņemt”. Tas automātiski neatceļ visus ar to izveidotos parakstus (vairumā gadījumu jau izsniegtie paraksti paliks derīgi), taču tas neļauj to izmantot atkārtoti jaunos iesniegumos vai konfigurācijās.
Paraksts ar apliecinājumu: CAB izveide un parakstīšana kontrolieriem
La apliecinājuma paraksts Tas ir mehānisms, kas ļauj izplatīt draiverus, neizmantojot visu tradicionālo WHQL sertifikācijas procesu, vienlaikus saglabājot Microsoft parakstu un atbilstību kodola ielādes noteikumiem. Lai to izdarītu, tiek sagatavots CAB fails, kas satur draivera pakotni, un iesniegts partneru centrā, lai Microsoft to parakstītu.
Tipiskā CAB sūtījumā ir iekļauts vismaz draivera binārais fails (piemēram, Echo.sys), atbilstošais INF Lai Microsoft rīki varētu analizēt atmiņas izgāzumus kļūmju gadījumā, ir nepieciešami faili (Echo.inf) un PDB simbolu faili (piemēram, Echo.pdb). Kataloga failus (.cat) var iekļaut arī uzņēmuma iekšējām pārbaudēm, lai gan Microsoft parakstīšanas procesa laikā ģenerēs savus katalogus.
CAB izveide parasti tiek veikta ar MakeCab un DDF fails kas definē iegūtā faila nosaukumu, pakotnes iekšējo mapju organizāciju un iekļaujamos failus. DDF definē tādus parametrus kā saspiešanas veids, izvades nosaukums (piemēram, Echo.cab) un mērķa direktoriju CAB failā (parasti apakšmapi, lai faili neatrastos saknes direktorijā).
Kad DDF ir sagatavots, tiek izpildīta šāda stila komanda MakeCab /f Echo.ddfkas ģenerē CAB failu apakšdirektorijā (piemēram, Disk1). Ieteicams pārskatīt tā saturu, lai pārliecinātos, ka gan binārie faili, gan INF un PDB faili Tie ir pareizi iekļauti, pirms pāriet uz nākamo soli: parakstīšanu ar EV sertifikātu.
EV paraksts no CAB un iesniegšana, izmantojot Partneru centru
Ar ģenerēto CAB failu jums ir jāveic šādas darbības: parakstiet to ar EV sertifikātu organizācijas. Šim nolūkam atkal tiek izmantots SignTool, norādot uz sertifikātu krātuvi, kurā atrodas EV, un norādot gan jaucējkodēla algoritmu (SHA256), gan laika zīmoga servera URL:
Klasisks komandas piemērs Tas būtu kaut kas līdzīgs SignTool sign /s MY /n "Nombre de la empresa" /fd sha256 /tr http://... /td sha256 /v Echo.cabŠis paraksts garantē, ka visa pakotne ir aizsargāta un ka tās integritāti un izcelsmi var pārbaudīt pat pirms Microsoft to apstrādā.
Pēc tam parakstītais CAB fails tiek augšupielādēts no Partneru centra panelisJauno aparatūras sūtījumu sadaļā jūs piešķirat produktam nosaukumu, norādāt vēlamās paraksta īpašības (kāda veida paraksti ir nepieciešami pakotnei, kādas arhitektūras un sistēmas tiek atbalstītas) un atkarībā no scenārija iespējojat vai atspējojat testa parakstus.
Kad sūtījums ir pabeigts un parakstīšanas process ir pabeigts, izstrādātājs var Lejupielādējiet draiveri, ko jau ir parakstījis Microsoft no paša vadības paneļa. Šī pakotne tiks instalēta lietotāju datoros, parasti bez drošības brīdinājumiem, ja sistēma uzticas iesaistītajām sertifikācijas iestādēm un uzticības ķēde ir pareizi konfigurēta.
Kontroliera paraksta un EKU pārbaude
Kad parakstītais draiveris ir lejupielādēts, ir vērts to pārbaudīt Paraksti un sertifikāti ir pareizi lietoti.Šim nolūkam atsauces rīks atkal ir SignTool ar tādām komandām kā SignTool verify Echo.sys lai validētu pamata parakstu vai papildu parametrus, piemēram, /pa /ph /v /d lai iegūtu sīkāku informāciju, tostarp hešus un visu failā esošo parakstu pārbaudi.
Papildus komandrindas verifikācijai sertifikātu manuālu pārbaudi var veikt no failu rekvizītiem programmā Windows Explorer. Cilnē “Digitālie paraksti” Tiek uzskaitīti lietotie paraksti; atlasot vienu un ievadot “Detaļas” → “Skatīt sertifikātu”, varat piekļūt visai attiecīgajai informācijai par uzticības ķēdi.
Sertifikāta informācijas cilnē lauks Uzlabotā atslēgu lietošana (EKU) Tas ļauj apstiprināt, ka sertifikāts ir izsniegts ar atbilstošiem paplašinājumiem koda un draiveru parakstīšanai. Ja EKU ir nepareizi, sistēma var pieņemt kriptogrāfisko parakstu, bet joprojām noraidīt draivera augšupielādi, jo sertifikāts nav autorizēts šim konkrētajam mērķim.
Parakstītā kontrollera dzīves cikla uzlabota pārvaldība
Microsoft iekšējais iesnieguma parakstīšanas process parasti ietver vairākas secīgas darbības. Pirmkārt, tas Pievieno iegultu Microsoft parakstu, kura pamatā ir SHA-2 draivera binārajā failā. Ja klients jau ir ievietojis savus parakstus binārajā failā, tos var pārrakstīt ar Microsoft parakstu, ja nepieciešams, lai nodrošinātu saderību ar ielādes politikām.
Pēc tam sistēma izveido un paraksta jauns kataloga fails (.cat) ar SHA-2 sertifikātu Microsoft katalogs aizstāj jebkuru izstrādātāja sākotnēji iesniegto katalogu. Tas nodrošina, ka visas pakotnes integritāti kontrolē Microsoft parakstītais katalogs, savukārt atsevišķiem binārajiem failiem ir paraksti, kas atbilst kodola režīma noteikumiem.
Kad draiveris ir instalēts operētājsistēmā Windows (izmantojot devcon, pnputil, pielāgotus instalētājus vai Windows Update), ja konfigurācija ir pareiza, tādiem ziņojumiem kā "Windows nevar pārbaudīt šīs draivera programmatūras izdevēju" nevajadzētu parādīties. Šāda veida brīdinājumi parasti norāda uz problēmām ar sertifikātu ķēdi, nepilnīgiem parakstiem, nereģistrētiem katalogiem vai nesaderību ar sistēmas parakstīšanas politikām.
Draiveri operētājsistēmā Windows 10 un pamata draiveru pārvaldība
No lietotāja vai atbalsta tehniķa viedokļa pirmais rīks draiveru statusa pārbaudei operētājsistēmā Windows 10 ir Ierīču pārvaldnieksŠeit ir pilns datorā instalēto ierīču saraksts: tās, kas darbojas pareizi, tiek parādītas bez brīdinājuma simboliem, savukārt tās, kurām ir problēmas, ir atzīmētas ar dzeltenām vai sarkanām ikonām.
Ātrākais veids, kā to atvērt, ir izmantot Sākt izvēlnes meklēšanu Ierīču pārvaldniekam var piekļūt, ierakstot "Ierīču pārvaldnieks" vai izmantojot izvēlni Sākt (Win+X) un atlasot atbilstošo opciju. Šajā konsolē var atjaunināt, atspējot, atinstalēt vai pārbaudīt katra draivera īpašības, tostarp tā digitālos parakstus.
Ideālā scenārijā lielākā daļa ierīču ir aizsargātas ar vispārīgi vai specifiski draiveri Windows pati lejupielādē un instalē šīs ierīces, izmantojot Windows Update. Tomēr, ja sistēma neatpazīst konkrētu aparatūras daļu, parādās "nezināmas ierīces", kas lietotājam vai administratoram prasa manuālāku pārvaldību.
Nezināmas ierīces un atbilstošā draivera manuāla atrašanās vieta
Kad nezināma ierīce ar brīdinājuma ikonuVisefektīvākais veids, kā to identificēt, parasti ir pārbaudīt tā aparatūras ID. Tās rekvizītos, cilnē “Detaļas”, atlasiet “Aparatūras ID” un nokopējiet virknes, kas sākas ar PCI, USB vai citiem prefiksiem. Šajās virknēs ir iekļauts ierīces ražotājs un modeļa identifikators.
Ar šo identifikatoru varat droši meklēt atbilstošo draiveri ražotāja oficiālajā tīmekļa vietnē vai dažos gadījumos specializētās draiveru datubāzēs. Kad pakotne ir lejupielādēta, ja tā ir izpildāma instalētāja programma, vienkārši izpildiet vedņa norādījumus; tomēr, ja tā tiek piegādāta kā mape, kas pilna ar INF, SYS un citiem failiem, jums būs jāizmanto opcija “Meklējiet datorā draivera programmatūru"norāda ceļu uz šo mapi."
Daudzos gadījumos, īpaši ar vecākām iekārtām vai neparastām aparatūras kombinācijām, šāda veida manuāla meklēšana ir vienīgais reālais veids, kā panākt ierīces normālu darbību, vienmēr rūpējoties par to, lai Lejupielādējiet draiverus tikai no uzticamiem avotiem un nevis no vispārīgiem portāliem, kas komplektā iekļauj draiverus ar nevēlamu programmatūru.
Draiveri bez atpazīta paraksta, īpašiem režīmiem un drošības opcijām
Windows 10 ietver papildu drošības slāni, kas sastāv no pieprasīt, lai draiverus parakstītu Microsoft vai uzticami pārdevējiNo sistēmas aizsardzības viedokļa tam ir liela jēga, taču tas var kļūt par problēmu, ja nepieciešams instalēt likumīgus draiverus, kas nav pareizi parakstīti vai kuriem sistēma neatpazīst parakstu.
Iepriekšējās Windows versijās neparakstīta draivera instalēšanu varēja manuāli apstiprināt ar vienkāršu opciju "Instalēt jebkurā gadījumā", taču, sākot ar Windows 10, šī opcija lielākoties ir noņemta. Lai instalētu šos draiverus, tagad ir jāizmanto tādas iespējas kā... uzlabota startēšana ar atspējotu paraksta verifikāciju, testa režīmu vai izmaiņas grupas politikās atkarībā no sistēmas izdevuma.
Konservatīvākā metode ietver Windows restartēšanu īpašā režīmā, kur īslaicīgi atspējo prasību pēc parakstītiem kontrolieriemTo var izdarīt sistēmas iestatījumos (Win+I → Atjaunināšana un drošība → Atkopšana), izmantojot "Papildu startēšana" un pēc vairāku izvēļņu pārskatīšanas ("Problēmu novēršana" → "Papildu opcijas" → "Startēšanas iestatījumi"), atlasot opciju, kas atspējo obligāto draivera paraksta ieviešanu. Tas ļauj instalēt nepieciešamo draiveri, lai gan aizsardzība tiks atkārtoti iespējota nākamās restartēšanas laikā.
Draivera parakstīšanas atspējošana: grupas politikas, testa režīms un BCDEdit komandas
Sarežģītākās vidēs, piemēram, Windows 10/11 Pro vai Enterprise izdevumos, ir iespēja pielāgot draivera paraksta darbību, izmantojot grupas direktīvas (Gpedit)Pārvietojoties uz Lietotāja konfigurācija → Administratīvās veidnes → Sistēma → Draiveru instalēšana, jūs atradīsiet politiku “Ierīču draiveru koda parakstīšana”. Iestatot to uz “Atspējots”, parakstīšanas prasība tiek atvieglota, lai gan tā jālieto piesardzīgi un jāapzinās ietekme uz drošību.
Vēl viena iespēja ir Testa režīms (TESTSIGNING)Tas ir paredzēts izstrādātājiem, kas strādā ar draiveriem, kuri joprojām ir testēšanas fāzē. Šī režīma aktivizēšana ar bcdedit /set TESTSIGNING ON (un restartēšana) ļauj ielādēt draiverus, kas parakstīti ar testa sertifikātiem, kurus parasti izsniedz pati organizācija. Kamēr sistēma atrodas šajā režīmā, darbvirsmā tiek parādīta ūdenszīme, kas norāda, ka tā darbojas testa vidē.
Dramatiskākā iespēja ir tos pilnībā atspējot. kontroliera integritātes pārbaudes ar tādām komandām kā bcdedit.exe /set nointegritychecks onTas ļauj instalēt un ielādēt jebkuru draiveri, parakstītu vai neparakstītu, un, lai gan tas var būt noderīgi ļoti specifiskās situācijās (piemēram, kritiskas aparatūras uzturēšana bez moderna atbalsta pilnīgi izolētā vidē), tas rada ievērojamu drošības risku. Ikreiz, kad tiek izmantota šī metode, ieteicams to atkārtoti aktivizēt ar bcdedit.exe /set nointegritychecks off kad nepieciešamie draiveri ir instalēti.
Vadītāja paraksta aizsardzības atspējošanas bīstamība
Vadītāju parakstīšanas politikas atvieglošana vai atspējošana paver durvis uz draudiem, kurus ir ļoti grūti atklāt un vēl grūtāk izskaust: rootkit un ļaunprogrammatūra, kas maskēta kā kontrolieriŠie komponenti ir ielādēti ar SISTĒMAS privilēģijām un darbojas ļoti zemā līmenī, spējot uzraudzīt datplūsmu, pārtvert saziņu, bloķēt pretvīrusu programmas un paslēpties no gandrīz jebkura drošības rīka.
Kad šāda veida viltots draiveris ir veiksmīgi instalēts, sistēma var tikt pilnībā apdraudēta bez jebkādiem acīmredzamiem simptomiem. Atklāšana ar tradicionālajiem drošības risinājumiem ir ļoti sarežģīta, jo ļaunprogrammatūra maskējas kā likumīgs draiveris. Daudzos gadījumos vienīgais uzticamais veids, kā atgūt inficētu datoru, ir Formatējiet un pārinstalējiet sistēmu no jauna.
Tāpēc jebkura programmatūra, kas uzstāj uz neatgriezeniski atspējot vadītāja parakstīšanu Apgalvojumi, kas sola "optimizēt veiktspēju", "aktivizēt slēptās funkcijas" vai līdzīgus solījumus, jāuzskata par aizdomīgiem. Vienmēr ir ieteicams meklēt alternatīvas: atjauninātus oficiālos draiverus, parakstītas versijas, kontrolētus testa režīmus vai pat aparatūras atvienošanu, ja nepieciešams, nevis atstāt sistēmu neaizsargātu.
Windows draiveri salīdzinājumā ar ražotāja draiveriem: ko lietot un kad
Viens punkts, kas rada diezgan daudz neskaidrību, ir atšķirība starp Microsoft nodrošinātie vispārīgie draiveri ar katram ražotājam specifisku sistēmu un draiveriem. Pirmie ļauj lielākajai daļai ierīču darboties "tūlīt pēc instalēšanas", kad aparatūra ir pievienota, taču tie parasti piedāvā tikai komponentu pamatfunkcijas.
Piemēram, ja tas ir daudzfunkcionāls printeris, jūs, visticamāk, varēsiet drukāt bez problēmām, izmantojot Windows draiverus, taču piekļuve skenerim, papildu papīra apstrādes funkcijām vai ražotāja diagnostikas paneļiem var būt sarežģīta. Lai maksimāli izmantotu ierīci, ideāls risinājums ir Instalējiet oficiālos draiverus un programmatūru no ražotāja.kas parasti ietver derīgus digitālos parakstus un citas konfigurācijas opcijas.
Lejupielādējot draiverus, ir svarīgi pārliecināties, ka apmeklētā vietne patiešām ir ražotāja vietne, nevis trešās puses portāls, kas darbojas kā starpnieks. Vienkāršs triks ir rūpīgi pārbaudīt Domēna URL un izvairieties no vispārīgiem instalētājiem, kas sola "atjaunināt visus jūsu draiverus", bet pievieno reklāmprogrammatūru vai pat ļaunprogrammatūru. Ikreiz, kad draiveru parakstīšana ir iespējota, Windows palīdzēs bloķēt šāda veida aizdomīgas pakotnes, parādot brīdinājumus vai neļaujot to instalēt.
Draiveru atjaunināšanas un diagnostikas rīki
Lietotājiem, kuri vēlas deleģēt daļu darba, ir pieejamas šādas iespējas: specializētas utilītas novecojušu draiveru noteikšanai un ieteikt jaunākas versijas, piemēram, Driver Booster, Driver Talent, AVG Driver Updater vai tehniskākus risinājumus, piemēram, Snappy Driver Installer vai DriverPack Solution. Lai gan tie var būt noderīgi grūti atrodamu pakotņu atrašanai, tie jāizmanto piesardzīgi, vienmēr pārbaudot ieteikto draiveru avotu.
Diagnostikas pusē tādi rīki kā DriverView, ko izstrādājis NirsoftŠie rīki ļauj uzskaitīt visus sistēmā instalētos draiverus un ātri atšķirt, kuri no tiem pieder Microsoft (ar derīgiem parakstiem) un kuri ir no trešajām pusēm. Piemēram, šī lietojumprogramma Microsoft draiverus attēlo ar baltu fonu un citu uzņēmumu draiverus izceļ sarkanā krāsā, tādējādi atvieglojot iespējamo problēmu avotu identificēšanu.
DriverView ļauj kārtot sarakstu pēc uzņēmuma, filtrēt, lai paslēptu Microsoft draiverus un koncentrētos uz trešo pušu draiveriem, kā arī, veicot dubultklikšķi, skatīt detalizētu informāciju par katru draiveri: nosaukums, ceļš, versija, uzņēmums utt. Izmantojot šo informāciju, ir vieglāk izlemt, vai aizdomīgs draiveris ir daļa no uzticamas programmatūras vai arī tas ir jāatinstalē, lai uzlabotu sistēmas stabilitāti vai drošību.
Viedkartes, sertifikāti kartē un Bit4id PKI pārvaldnieks
Korporatīvajā un administratīvajā vidē ir ļoti izplatīti sertifikāti, ko izmanto elektroniskais paraksts, autentifikācija vai šifrēšana Tie tiek glabāti viedkartēs vai kriptogrāfiskos tokenos. Šo ierīču pārvaldībai, tostarp PIN, PUK, kā arī sertifikātu importēšanai un eksportēšanai, ir nepieciešami īpaši rīki, piemēram, Bit4id PKI pārvaldnieks un ar to saistītā starpprogrammatūra.
Bit4id PKI pārvaldnieks nodrošina pievienoto ierīču (karšu lasītāju, žetonu) pārskatu un pēc pieteikšanās ar PIN kodu ļauj skatīt ierīcē saglabātos lietotāja un sertifikātu iestādes (CA) sertifikātus. No tā informācijas paneļa var veikt tādus uzdevumus kā Atbloķēt PIN kodu ar PUK kodu, mainīt PIN vai PUK kodu, pieteikties un atteikties Kartē pārdēvējiet ierīci vai importējiet sertifikātus .p12/.pfx formātā, kas ietver privāto atslēgu.
Importējot sertifikātu, lietojumprogramma aicina atlasīt failu, ievadīt kartes PIN kodu, PFX/P12 konteinera paroli un pēc izvēles CKA_ID lietošanai ar PKCS#11. Un otrādi, tā arī ļauj eksportēt sertifikātus .cer formātākas satur tikai publisko atslēgu, jo viedkartes privāto atslēgu drošības apsvērumu dēļ nekad nevar iegūt.
Interesanta papildu funkcija ir spēja Automātiski sinhronizēt karšu sertifikātus ar Windows sertifikātu krātuviTas ir svarīgi, lai tādas lietojumprogrammas kā Microsoft Edge, Chrome, Opera vai Adobe Reader varētu izmantot šos sertifikātus PDF dokumentu autentifikācijai vai parakstīšanai no pašas pārlūkprogrammas vai lietojumprogrammas.
Sertifikātu verifikācija operētājsistēmā Windows, pārlūkprogrammās un programmā Adobe Reader
Lai pārbaudītu, vai karšu sertifikāti ir pareizi augšupielādēti sistēmā, varat atvērt Windows sertifikātu krātuve Izvēlnē Sākt izmantojiet certmgr.msc. Mapē “Personīgie” → “Sertifikāti” vajadzētu parādīties ar karti saistītajiem lietotāja sertifikātiem, ja starpprogrammatūra ir pareizi paveikusi savu darbu.
Firefox gadījumā, kas uztur savu neatkarīga sertifikātu krātuveJums jāpārbauda drošības un sertifikātu sadaļa pārlūkprogrammas iestatījumos. Ja PKCS#11 moduļi ir pareizi konfigurēti un, kad tiek prasīts, ievadāt PIN kodu, viedkartes sertifikāti parādīsies arī lietotāja un autorizācijas sertifikātu cilnēs.
Programmā Adobe Acrobat Reader ceļš ir caur izvēlni “Preferences” → “Paraksti” → “Uzticamas identitātes un sertifikāti” un sadaļu “Windows digitālās identifikācijas”. Ja sertifikāti atrodas Windows sertifikātu krātuvē, Adobe var tos tieši izmantot, lai digitāli parakstīt PDF dokumentusTipiskā darbplūsma ietver “Lietot sertifikātu” atlasi, PDF faila apgabala izvēli, kur tiks ievietots paraksts, atbilstošā sertifikāta izvēli un procesa pabeigšanu, ievadot kartes PIN kodu, kad tas tiek prasīts.
Bieži sastopamo draiveru un sertifikātu problēmu novēršana
Kad draiveris sāk darboties neregulāri vai aparatūras komponents pārstāj darboties, vispirms ir jāpārbauda atbilstošā ikona Ierīču pārvaldnieksDzeltenā ikona norāda uz problēmu ar draiveri: tas var būt bojāts, novecojis, slikti parakstīts vai konfliktē ar citu programmatūru.
Starp ieteicamajām darbībām ir šāda izmantošana: Windows iebūvētais aparatūras problēmu risinātājsDraivera manuāla atjaunināšana no ierīču pārvaldnieka, draivera atinstalēšana un atkārtota instalēšana vai pat atgriešanās pie iepriekšējās versijas, ja problēmu radīja nesens atjauninājums. Daudzos gadījumos konfliktus var atrisināt, vienkārši ļaujot Windows Update atkārtoti instalēt draiveri.
Sarežģītākos scenārijos, piemēram, vairāku sāknēšanas sistēmu instalācijās vecākās sistēmās, kļūdām, piemēram, “Parakstīšanas sertifikāti nav instalēti”, instalējot GPU draiverus operētājsistēmā Windows 7, var būt nepieciešams manuāli izvilkt instalēšanas failus no ražotāja un ierīču pārvaldniekā norādiet izvilkšanas mapi, lai piespiestu pareizā INF faila instalēšanu. Tas arī palīdz nodrošināt, ka operētājsistēmai Windows 7 ir atjauninājumi, kas iespējo SHA-2 (piemēram, KB3033929), un, ja viss pārējais neizdodas, apsveriet iespēju īslaicīgi atspējot draiveru parakstīšanu šajā konkrētajā sistēmā, ja vien tā paliek izolēta un izmanto draiverus no uzticama avota.
Visbeidzot, ja problēma ir saistīta ar viedkaršu sertifikātiem (nekonsekventi PIN kodi, kļūdas, piesakoties starpprogrammatūrā, kļūmes sertifikātu ielādē krātuvē), ieteicams apkopot visa diagnostikas informācija no PKI pārvaldnieka, instalētās versijas, testu rezultātus pārlūkprogrammās un lietojumprogrammās un nosūta tos kartes sniedzējam vai sertifikācijas iestādei, lai paātrinātu incidenta risināšanu.
Ņemot vērā visu iepriekš minēto, ir skaidrs, ka Draiveru sertifikātu un parakstu uzlabota pārvaldība operētājsistēmā Windows Tas nav tikai jautājums par to, lai "ierīce darbotos", bet gan par drošības, saderības un labākās prakses apvienošanu: pareizo koda parakstīšanas sertifikātu izvēle, to dzīves cikla uzraudzība partneru centrā, SHA-2 politikas ievērošana, zināšanas par to, kad un kā atvieglot parakstīšanas ierobežojumus, tādu rīku kā DriverView vai Bit4id PKI Manager izmantošana un, pats galvenais, vienmēr draiveru un sertifikātu lejupielāde un instalēšana no uzticamiem avotiem, saglabājot līdzsvaru starp stabilitāti, funkcionalitāti un aizsardzību pret zema līmeņa draudiem.