none
Цифровые подписи RRS feed

  • Вопрос

  • После эксперементов с FLASH дисками удалось выяснить что причина не установки драйверов, в отсутсвии цифровых подписей. Интересно что целый год устанавливались и распозновались флешки без проблем, но в какой то момент, что то случилось. С админскими правами устройство FLASH устанавливается, но в диспетчере пишет "Цифровая подпись отсутствует".

    Для драйверов флешки используются файлы "System32\DRIVERS\disk.sys и PartMgr.sys" как я понимаю это стандартные драйвера Microsoft. в информации об этих файлах тоже указано что нет цифровой подписи.

    Собственно вопрос. как вернуть подписи? У нас есть компьютеры где подписи присутсвуют, но что копировать?

    в теме http://social.technet.microsoft.com/Forums/ru-RU/xpru/thread/0e6a9dcc-b1a4-42bf-b377-6e53f4556a71

    советуют копировать CatRoot и CatRoot2, но это не помогает.

    И ещё очень интересно, каким образом могут слететь эти подписи.

    p.s. возможно ли что на клиентах упала нужная служба отвечающая за подписи?

    22 марта 2010 г. 13:45

Ответы

  • Тестовым путем было установлено, что на "плохом компьютере" где все устройства НЕ имеют цифровых подписей, если установить драйвера NVidea, на устройстве видеоадаптера цифровая подпись появляется. На всех других устройствах попрежнему цифровой подписи нет.
    Где хранятся сами цифровые подписи к драйверам? Они вшиты в сам файл либо лежат отдельно?
    ощущение, что у вас сертификаты из хранилища каким-то образом загадочным улетели... сравните список сертификатов в Trusted Root Certification Authorities на "здоровой" и "больной" машинах - нет ли явных отклонений? также посмотрите Intermediate Certification Authorities и Untrusted Certificates. Цифровая подпись - часть файла. У вас нарушен механизм проверки подписи, а не сами подписи.
    • Помечено в качестве ответа AndricoRusEditor 24 декабря 2010 г. 7:20
    23 марта 2010 г. 13:42
    Отвечающий

Все ответы

  • возможно ли что на клиентах упала нужная служба отвечающая за подписи?

    нет... а вот настройка групповой политики Driver Signing Options вполне может отличаться: проверьте через rsop.msc на проблемных клиентах, не стоит ли "Devices: Unsigned driver installation behavior" в "Do not allow installation"
    Искать в Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options

    • Предложено в качестве ответа ЙоЖыГ 22 марта 2010 г. 14:46
    • Отменено предложение в качестве ответа VM2 22 марта 2010 г. 15:39
    22 марта 2010 г. 14:17
    Отвечающий
  • возможно ли что на клиентах упала нужная служба отвечающая за подписи?

    нет... а вот настройка групповой политики Driver Signing Options вполне может отличаться: проверьте через rsop.msc на проблемных клиентах, не стоит ли "Devices: Unsigned driver installation behavior" в "Do not allow installation"
    Искать в Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options


    На проблемном компьютере установлен параметр "Не определено".

    Что интересно в GPO домена Win2008R2 такого параметра нет.

    Но, даже если мы разрешим установку не подписанных драйверов, это не решит проблемы с тем, что потерялись подписи к стандартным драйверам Microsoft

    22 марта 2010 г. 15:39
  • Цифровая подпись - это некая добавка к файлу которая подтвержадет целостность файла (для чего она содержит контрольную сумму или хэш содержимого файла). В случае драйверов цифровая подпись добавляется на этапе сертификации. Если подпись "слетела" то это значит что файл были изменен или заменен (не считая случая "оптимизации" компьютера при котором выключаются криптографические службы и проверка подписей не работает совсем).

    Я вижу две возможных причины - повреждение файла из за неисправного железа (диск, память) или намерененное повреждение/замена файла всяческой гадостью.

     

     

     


    This posting is provided "AS IS" with no warranties, and confers no rights.
    22 марта 2010 г. 15:56
    Модератор
  • Цифровая подпись - это некая добавка к файлу которая подтвержадет целостность файла (для чего она содержит контрольную сумму или хэш содержимого файла). В случае драйверов цифровая подпись добавляется на этапе сертификации. Если подпись "слетела" то это значит что файл были изменен или заменен (не считая случая "оптимизации" компьютера при котором выключаются криптографические службы и проверка подписей не работает совсем).

    Я вижу две возможных причины - повреждение файла из за неисправного железа (диск, память) или намерененное повреждение/замена файла всяческой гадостью.

    Хорошо, какие существуют способы восстановления?

    Простое копирование файлов драйвера с "рабочего" компьютера на "проблемный" компьютер, не дало результатов

    Так же в диспетчере устройств на проблемном компьютере, я не нашел не одного устройства у которого был бы драйвер с цифровой подписью.

     У нас порядка 200 ПК, и большая часть из них имеет эту проблему. По этому неисправность железа отпадает.

    Я думаю что повредилась некая служба или общий сертификат, что компьютер перестал обрабатывать подписи, возможно это причина вирус / GPO / или что то ещё.

    Ведь если бы мы скопировали файл драйвера "System32\DRIVERS\disk.sys" с "рабочего" компьютера, Windows увидел бы у него подпись?

     

    22 марта 2010 г. 16:26
  • На проблемном компьютере установлен параметр "Не определено".
    Но, даже если мы разрешим установку не подписанных драйверов, это не решит проблемы с тем, что потерялись подписи к стандартным драйверам Microsoft
    тогда уж для спокойствия - а в свойствах системы, Hardware -> Driver Signing вручную не установлено ли "Block - Never install unsigned driver software"? Подписи не могут, как вы говорите, "потеряться" - см. комментарий Ильи. Механизм их проверки по каким-либо причинам может сбоить (хотя я никогда такого в своей практике не встречал), но не потеряться :) Касательно "не нашел не одного устройства у которого был бы драйвер с цифровой подписью" - а каким образом вы определяете, что драйвер с подписью? во вкладке Driver виден подписчик? к примеру:
    Digital Signer: Microsoft Windows Publisher
    Digital Signer: Microsoft Windows Hardware Compatibility Publisher
    22 марта 2010 г. 16:26
    Отвечающий
  • На проблемном компьютере установлен параметр "Не определено".
    Но, даже если мы разрешим установку не подписанных драйверов, это не решит проблемы с тем, что потерялись подписи к стандартным драйверам Microsoft
    тогда уж для спокойствия - а в свойствах системы, Hardware -> Driver Signing вручную не установлено ли "Block - Never install unsigned driver software"? Подписи не могут, как вы говорите, "потеряться" - см. комментарий Ильи. Механизм их проверки по каким-либо причинам может сбоить (хотя я никогда такого в своей практике не встречал), но не потеряться :) Касательно "не нашел не одного устройства у которого был бы драйвер с цифровой подписью" - а каким образом вы определяете, что драйвер с подписью? во вкладке Driver виден подписчик? к примеру:
    Digital Signer: Microsoft Windows Publisher
    Digital Signer: Microsoft Windows Hardware Compatibility Publisher


    В Hardware -> Driver Signing  на проблемном компьютере установлен "Предупреждать - каждый раз предлагать выбор действия"

    В диспетчере устройств на проблемном компьютере, у каждого устройства в поле "Цифровая подпись" значение - "Цифровая подпись отсутствует"

    в "Сведеньях о файлах и драйверах" где перечислены физические файлы драйвера, у всех так же стоит значение "Цифровая подпись" - "Цифровая подпись отсутствует"

    На "Хорошем" компьютере везде цифровая подпись Microsoft

    22 марта 2010 г. 16:39
  • Ну для начала сравните файлы драйверов, лучше на "хорошем" компьютере:

    fc /b <хороший драйвер> <плохой драйвер>

    Если есть разница то проблема в повреждении драйверов. Так же посмотрите есть ли подпись на "плохом" драйвере на "хорошем" компьютере. Если есть то проблема с проверкой подписей, если нет то в драйвере.

    В последнем случае я бы предположил что у вас массовое поражение сети какой нибудь гадостью.


    This posting is provided "AS IS" with no warranties, and confers no rights.
    22 марта 2010 г. 17:40
    Модератор
  • Ну для начала сравните файлы драйверов, лучше на "хорошем" компьютере:

    fc /b <хороший драйвер> <плохой драйвер>

    Если есть разница то проблема в повреждении драйверов. Так же посмотрите есть ли подпись на "плохом" драйвере на "хорошем" компьютере. Если есть то проблема с проверкой подписей, если нет то в драйвере.

    В последнем случае я бы предположил что у вас массовое поражение сети какой нибудь гадостью.


    This posting is provided "AS IS" with no warranties, and confers no rights.


    Взяли файлы драйверов с "плохого компьютера" проверили с драйверами "хорошего компьютера", через fc /b  - различий нет

    Скопировали файлы драйвера FLASH устройства с "плохого компьютер" на "хороший компьютер", перезагрузились, воткнули FLASH. "Хороший" компьютер скушал "плохие" драйвера, и показал что цифровая подпись присутсвует

    Тестовым путем было установлено, что на "плохом компьютере" где все устройства НЕ имеют цифровых подписей, если установить драйвера NVidea, на устройстве видеоадаптера цифровая подпись появляется. На всех других устройствах попрежнему цифровой подписи нет.

    Где хранятся сами цифровые подписи к драйверам? Они вшиты в сам файл либо лежат отдельно ?

     

    23 марта 2010 г. 13:29
  • Тестовым путем было установлено, что на "плохом компьютере" где все устройства НЕ имеют цифровых подписей, если установить драйвера NVidea, на устройстве видеоадаптера цифровая подпись появляется. На всех других устройствах попрежнему цифровой подписи нет.
    Где хранятся сами цифровые подписи к драйверам? Они вшиты в сам файл либо лежат отдельно?
    ощущение, что у вас сертификаты из хранилища каким-то образом загадочным улетели... сравните список сертификатов в Trusted Root Certification Authorities на "здоровой" и "больной" машинах - нет ли явных отклонений? также посмотрите Intermediate Certification Authorities и Untrusted Certificates. Цифровая подпись - часть файла. У вас нарушен механизм проверки подписи, а не сами подписи.
    • Помечено в качестве ответа AndricoRusEditor 24 декабря 2010 г. 7:20
    23 марта 2010 г. 13:42
    Отвечающий
  • Тестовым путем было установлено, что на "плохом компьютере" где все устройства НЕ имеют цифровых подписей, если установить драйвера NVidea, на устройстве видеоадаптера цифровая подпись появляется. На всех других устройствах попрежнему цифровой подписи нет.
    Где хранятся сами цифровые подписи к драйверам? Они вшиты в сам файл либо лежат отдельно?
    ощущение, что у вас сертификаты из хранилища каким-то образом загадочным улетели... сравните список сертификатов в Trusted Root Certification Authorities на "здоровой" и "больной" машинах - нет ли явных отклонений? также посмотрите Intermediate Certification Authorities и Untrusted Certificates. Цифровая подпись - часть файла. У вас нарушен механизм проверки подписи, а не сами подписи.


    Первичный осмотр списка сертификатов показал, что в консоле сертификатов на "больных" компьютерах на всех сертификатах в колонке "Состояние" стоит значение "R"

    на "здоровых" компьютерах в колонке "Состояние" значений нет.

    явных отклонений кроме состояния "R" не замечено

     

    • Изменено VM2 23 марта 2010 г. 15:11
    23 марта 2010 г. 14:23
  • Первичный осмотр списка сертификатов показал, что в консоле сертификатов на "больных" компьютерах на всех сертификатах в колонке "Состояние" стоит значение "R"
    на "здоровых" компьютерах в колонке "Состояние" значений нет.
    Хорошо, теперь если зайти в свойства любого из таких сертификатов - никаких ворнингов нет?
    23 марта 2010 г. 15:11
    Отвечающий
  • Первичный осмотр списка сертификатов показал, что в консоле сертификатов на "больных" компьютерах на всех сертификатах в колонке "Состояние" стоит значение "R"
    на "здоровых" компьютерах в колонке "Состояние" значений нет.
    Хорошо, теперь если зайти в свойства любого из таких сертификатов - никаких ворнингов нет?


    Все хорошо. выборочно посмотрел сертификаты. везде "Этот сертификат действителен."

    но меня смущает "Состояние - R", почему это состояние только на "больных компьютерах"

    23 марта 2010 г. 15:13
  • Как я уже писал выше цифровые подписи это добавка в файлу, стало быть они "вшиты" в файл.  Если файл не изменился то подпись есть и не работает проверка подписей.

    Подписи любых файлов можно смотреть в эксплорере, в свойствах файла будет закладка "цифровые подписи" если подпись есть и она действительна. Реальная установка драйвера для проверки подписи не требуется.


    This posting is provided "AS IS" with no warranties, and confers no rights.
    23 марта 2010 г. 15:47
    Модератор
  • Как я уже писал выше цифровые подписи это добавка в файлу, стало быть они "вшиты" в файл.  Если файл не изменился то подпись есть и не работает проверка подписей.

    Подписи любых файлов можно смотреть в эксплорере, в свойствах файла будет закладка "цифровые подписи" если подпись есть и она действительна. Реальная установка драйвера для проверки подписи не требуется.


    This posting is provided "AS IS" with no warranties, and confers no rights.


    Хорошо, есть у кого нибудь идеи как починить проверку подписей?

    Как она могла вообще в принципе сломаться, и почему тогда при установке сторонних драйверов появляются цифровые подписи.

    23 марта 2010 г. 16:50
  • Как она могла вообще в принципе сломаться, и почему тогда при установке сторонних драйверов появляются цифровые подписи.
    у меня единственная мысль, но проверить и написать про которую детально времени не хватает - невозможность проверить подлинность по цепочке сертификатов из-за проблем с сертификатами вышестоящих доверенных центров сертификации... подозрение на то, что майкрософтовские промежуточные сертификаты и покоррапчены...
    23 марта 2010 г. 17:07
    Отвечающий
  • Как она могла вообще в принципе сломаться, и почему тогда при установке сторонних драйверов появляются цифровые подписи.
    у меня единственная мысль, но проверить и написать про которую детально времени не хватает - невозможность проверить подлинность по цепочке сертификатов из-за проблем с сертификатами вышестоящих доверенных центров сертификации... подозрение на то, что майкрософтовские промежуточные сертификаты и покоррапчены...


    Хорошо, есть какая то функция восстановления сертификатов? или пакет (exe msi) которые заного установит базовые?

    или например утилита /SFC

    А подобная проблема никогда не встречалась? Может быть какая то ошибка в пакете обновлений / софте.

    23 марта 2010 г. 17:12