7 replies to this topic

[Gougou]

Vista x64 et la signature de drivers : une solution, les signer soit-même!

L'un des points bloquant au passage à la version 64 bits de Windows Vista est, comme vous en avez peut-être déjà fait la (mauvaise) expérience, que tous les drivers doivent être numériquement signés par MS.

Il existe bien sûr la solution barbare qui consiste à désactiver totalement ce contrôle mais bon, faudra pas venir râler sur Microsoft et son manque de sérieux sur les problèmes de sécurité ensuite

Je vais donc ici vous présenter une méthode plus élégante (mais un peu plus compliquée ) qui permet d'assouplir ce mécanisme de sécurité sans pour autant le désactiver. Cela consiste à signer soit-même avec ses petits doigts les drivers posant problème.

Pour exemple, je prendrai le logiciel ATI Tray Tools qui, lors de son installation, nous met un joli petit driver non-signé...
Et donc, au premier lancement de l'application, vous avez le droit à ces deux jolies petites fenêtres :

Et là, votre ami Google vous dirige tout droit vers des forums qui vous disent de désactiver la vérification des signatures... Ahlala, c'est beau tout ces gens qui râlent sur MS et la sécurité et qui au premier souci les désactivent en 5 secondes Mais bon, c'est pas le sujet ici...
Donc, en geek consciencieux, vous fonçez sur votre site préféré ( ) pour trouver une solution moins bourrin et qui vous apprendra peut-être 2/3 trucs qui peuvent servir (ou pas...).

1. Etape 1 : Signer le driver
   Pour commencer, il faut télécharger les fichiers nécessaires à la création et à l'importation de certificats. Ca se passe ici :  makecert.zip   92,06 Ko   3617 Nombre de téléchargements 
   Ensuite, direction l'invite de commande!! Ouvrez un invite de commande en tant qu'administrateur.
   Dans celui-ci :
   
   • Créez le certificat
     
     CODE
     makecert.exe -$ individual  -r -pe -ss "SelfSigning Store" -n CN="Gougou" "ATT.cer"
     
     

     • "SelfSigning Store" est le nom du magasin où sera stocké votre certificat.
     • "Gougou" est le nom du certificat.
     • "ATT.cer" est le nom du fichier contenant le certificat.

     
     Vous pouvez choisir ce que vous voulez pour ces paramètres

     Résultat normal de la commande :
     CODE
     Succeeded
   • Importez-le dans votre liste de certificat
     
     CODE
     CertMgr.Exe /add "ATT.cer" /s /r localMachine root
     
     Résultat normal de la commande :
     CODE
     CertMgr Succeeded
   • Signez votre driver
     
     CODE
     signtool.exe sign /v /s "SelfSigning Store" /n "Gougou" "D:\Program Files (x86)\Ray Adams\ATI Tray Tools\atitray64.sys"
     
     Résultat normal de la commande :
     CODE
     The following certificate was selected:
         Issued to: Gougou
         Issued by: Gougou
         Expires:   01/01/2040 00:59:59
         SHA1 hash: 0AFCE3F4467E39D34326D970B7616C06F600C863
     
     Done Adding Additional Store
     
     Attempting to sign: D:\Program Files (x86)\Ray Adams\ATI Tray Tools\atitray64.sys
     Successfully signed: D:\Program Files (x86)\Ray Adams\ATI Tray Tools\atitray64.sys
     
     Et voilà, vous avez un joli driver signé!!
   
   Il ne reste plus qu'à autoriser ce type de signature. En effet, par défaut, Vista n'autorise que les certificats signés par une autorité de certification reconnue.
   
   
   
   
   
2. Etape 2 : Autoriser les drivers auto-signés
   Dans l'invite de commande, tapez simplement ceci.
   
   CODE
   bcdedit.exe /set TESTSIGNING ON
   
   
   
   
3. Rebootez.

Et voilà, votre appli préférée tourne sous Vista x64!!
Vous avez réduit un chouilla la sécurité pour cela (si un logiciel malveillant utilise ce type de signature, Vista ne le bloquera plus...) mais bon, c'est toujours mieux que de désactiver cela bêtement

A vos claviers!
N'hésitez pas à poster si vous rencontrez un souci.

PS : passer en mode "test signing" ajoute un fingerprint au 4 coins de votre bureau. J'essaierai de faire un petit post pour expliquer comment les effacer

[Gougou]

réservé pour astuce sur la suppression du fingerprint

[thelostalien]

réservé pour astuce sur la suppression du fingerprint

Merci l'ami  avec ce tuto (Ati tray tools) a bel et bien fonctioner sur vista 64bit bon courage pour le reste "Fingerprint"

[¶▓ █]

salut

merci pour cette astuce! je vais bientôt installer Vista Home Premium 64 (15 jours pour recevoir le DVD d'Allemagne )et je commencais vraiment à me faire du soucis avec ces histoires de drivers signés

les éxécutables fournis dans l'archive makecert.zip sont en fait présent dans Vista une fois le .Net Framework installé, non?

PS : passer en mode "test signing" ajoute un fingerprint au 4 coins de votre bureau. J'essaierai de faire un petit post pour expliquer comment les effacer

une fois le pilote installé, ne peut-on pas repasser en bcdedit.exe /set TESTSIGNING OFF ?

[Gougou]

Merci l'ami  avec ce tuto (Ati tray tools) a bel et bien fonctioner sur vista 64bit bon courage pour le reste "Fingerprint"

salut

merci pour cette astuce! je vais bientôt installer Vista Home Premium 64 (15 jours pour recevoir le DVD d'Allemagne )et je commencais vraiment à me faire du soucis avec ces histoires de drivers signés

De rien

les éxécutables fournis dans l'archive makecert.zip sont en fait présent dans Vista une fois le .Net Framework installé, non?

C'est possible.
Ou alors, c'est dans un des SDK.

PS : passer en mode "test signing" ajoute un fingerprint au 4 coins de votre bureau. J'essaierai de faire un petit post pour expliquer comment les effacer

une fois le pilote installé, ne peut-on pas repasser en bcdedit.exe /set TESTSIGNING OFF ?

Si tu désactives le mode testing, au prochain reboot, le driver ne sera pas chargé

Bon allez, je vais prendre mon courage à 2 mains et faire le tuto pour virer les fingerprints cet aprem!! Ca a l'air assez "complexe" avec une x64 avec les divers process de protection des données systèmes

[Thelwin Argon]

C'est quoi un fingerprint ???


À part ça, ça m'a l'air plutôt inutile que Vista bloque les drivers non-signés, vu que personne de censé ne penserait à laisser Vista bloquer les logiciels malveillants lui-même et qu'il y a plus que des chance pour qu'une personne censée installe un antivirus...

Donc, si on a un anti-virus, on peut désactiver sans trop de crainte le contrôle des signatures, puisque si un virus passe notre antivirus, il a des chances qu'il passe aussi les protections de Vista...

M'enfin, je m'y connais pas vraiment dans ces histoires, mais un bon antivirus devrait régler le problème de sécurité et nous laisser désactiver sans crainte le contrôle de signature, non ???

Ce message a été modifié par Thelwin Argon - 30 mars 2008 - 18:03 .

[¶▓ █]

le soucis à l'heure actuelle c'est qu'une mise à jour empêche la désactivation du contrôle des signatures :

http://www.mydigital...-signing-issue/

manque de bol ça a l'air d'être une mise à jour importante qui améliore les performances de Vista

http://www.mydigital...ormance-update/

j'ai même lu je ne sais plus où que ce ne serait pas la seule mise à jour posant ce problème...

[Thelwin Argon]

Mouais, c'est vrai qu'à ce moment là, cette astuce pour signer soi-même les drivers devient tout d'un coup drôlement pratique ^^
Et je pense pas qu'il y ait moins compliqué, si la désactivation est impossible...