Пошаговое руководство по подписыванию и подготовке драйверов аппаратных устройств

OSzone.net » Microsoft » Windows Vista » Пошаговые руководства » Пошаговое руководство по подписыванию и подготовке драйверов аппаратных устройств
Автор: Артем Жауров aka Borodunter
Иcточник: (переведено с англ.) Microsoft Technet
Опубликована: 18.04.2007
Club logo

Опубликовано: июль 2006 г.
Автор: Дэйв Бишоп (Dave Bishop).
Редактор: Скотт Сомохано (Scott Somohano)

Аннотация

Подписывание и подготовка драйверов устройств в операционных системах Microsoft® Windows Server® (кодовое название – «Longhorn») и Windows Vista™ позволяет администраторам повысить уровень защищенности компьютеров организации. Это достигается путем разрешения пользователям устанавливать только проверенные и заранее определенные администратором драйверы устройств. В данном пошаговом руководстве рассматривается процесс подписывания и подготовки пакетов драйверов, позволяющий пользователям, не обладающими административными полномочиями, самостоятельно проводить их безопасную установку на свои компьютеры.

На этой странице

Введение

Обзор сценариев

Обзор технологий

Требования, необходимые для подписывания и подготовки драйверов

Подписывание пакета драйвера устройства

Размещение пакета драйвера устройства в хранилище драйверов

Настройка общей сетевой папки для хранения подписанных пакетов драйверов

Заключение

Замечания и отзывы

Дополнительные ресурсы

Введение

В данном пошаговом руководстве используются демонстрационное устройство и его драйвер, с помощью которых в лабораторной среде показано, каким образом можно безопасно разместить пакеты драйверов устройств на клиентских компьютерах так, чтобы обычный пользователь смог установить их без какой-либо дополнительной помощи со стороны администратора или взаимодействия с пользовательским интерфейсом операционной системы.

*Важно

Рассматриваемые в данном руководстве примеры следует выполнять только в лабораторной среде. Данное руководство не предназначено для использования в рабочей среде и его следует использовать по собственному усмотрению как отдельный документ.

В частности, в Microsoft® Windows Vista™ и Windows Server® (кодовое название – «Longhorn») Вы можете выполнять следующие задачи:

Для кого предназначено это руководство

Данное руководство предназначено для следующих категорий ИТ-специалистов:

Преимущества использования подписывания и подготовки пакетов драйверов

Поскольку программное обеспечение драйвера устройства выполняется как часть операционной системы и имеет неограниченный доступ ко всем компонентам компьютера, очень важно разрешать использование только тех драйверов, которые известны администратору и внесены им в список надежных. Подписывая и размещая пакеты драйверов Ваших устройств на клиентских компьютерах с помощью методов, описанных в данном руководстве, Вы получаете следующие преимущества:

В операционных системах Windows Vista и Windows Server «Longhorn» Вы можете разрешить обычным пользователям устанавливать проверенные драйверы устройств без риска возникновения угрозы информационной безопасности, а также без участия специалистов службы поддержки.

Наверх страницы

Обзор сценариев

В состав операционных систем Windows Vista и Windows Server «Longhorn» включены несколько функций, облегчающих администратору процесс установки драйверов устройств для пользователей. Вы имеете возможность размещать пакеты драйверов в защищенной области клиентского компьютера, называемой хранилищем драйверов. Обычные пользователи могут устанавливать пакеты драйверов из этого хранилища, не обладая при этом никакими административными полномочиями или особыми разрешениями. Вы также можете настроить клиентские компьютеры таким образом, чтобы при установке в систему нового устройства выполнялся поиск драйверов в общих сетевых папках (и их подпапках), указанных администратором. Эти папки могут располагаться как на локальном компьютере, так и на определенном сетевом ресурсе. Когда используется такой способ доступа к пакетам драйверов, Windows не предлагает пользователю указать файловый носитель, содержащий драйверы. Данные функции упрощают работу пользователей и снижают стоимость поддержки системы, позволяя обычному пользователю самостоятельно производить установку проверенных пакетов драйверов, не требующую никаких дополнительных разрешений или вмешательства со стороны администратора. Также эти функции повышают уровень безопасности компьютеров Вашей организации, гарантируя, что обычные пользователи могут устанавливать только те пакеты драйверов, которые были проверены и считаются надежными.

*Примечание

В данном руководстве термин «драйвер устройства» означает установленное, настроенное и работающее программное обеспечение, необходимое для работы аппаратного устройства, установленного на компьютере под управлением ОС Windows.

Термины «пакет драйвера устройства», «пакет драйвера» или «пакет» означают полный набор файлов, необходимых для установки драйвера устройства.

Термин «администратор» означает любого пользователя, вошедшего в систему под учетной записью, входящей в состав локальной группы Administrators.

Термин «обычный пользователь» означает любого пользователя, вошедшего в систему под учетной записью, не имеющей повышенных разрешений, которые могут быть получены путем включения учетной записи в состав определенной группы или путем делегирования прав.

В данном руководстве Вы создадите тестовый сертификат и вручную установите его в хранилище сертификатов на клиентском компьютере. В рабочей среде организации проводятся более масштабные действия, в которые вовлекаются:

В целях защиты и поддержания стабильной работы операционной системы только у администраторов имеются полномочия на установку неподписанных драйверов устройств. С помощью процедур, описанных в данном руководстве, администратор может подписать пакеты драйверов, которые не были заранее подписаны поставщиком, после чего эти пакеты могут быть использованы в организации. С помощью этих процедур администратор может также заменить цифровую подпись поставщика сертификатом организации. Если все пакеты драйверов подписаны таким сертификатом, то в организации достаточно произвести развертывание только одного сертификата.

Если обычный пользователь пытается установить устройство, пакет драйвера которого еще не находится в локальном хранилище, ОС Windows в свою очередь пытается поместить этот пакет драйвера в хранилище. Эта процедура завершается успешно, если пользователь может предоставить системе административные учетные данные или если установка устройства, для которого предназначен пакет драйверов, разрешена системными политиками компьютера. Если пользователь не сможет успешно завершить процесс размещения пакета драйвера в хранилище, устройство установлено не будет.

Сценарии подписывания и подготовки пакетов драйверов

В данном руководстве описываются задачи, связанные с развертыванием пакетов драйверов на клиентских компьютерах.

Подписывание пакета драйвера

Операционные системы Windows Vista и Windows Server «Longhorn» позволяют Вам выполнять цифровое подписывание пакетов драйверов. В этом сценарии описаны шаги, необходимые для выполнения следующих задач:

Размещение пакета драйвера устройства в хранилище драйверов

В этом сценарии описаны шаги, необходимые для размещения пакета драйвера устройства в хранилище драйверов. Также в этом сценарии показано, каким образом происходит установка пакета драйвера из хранилища при подключении к компьютеру нового аппаратного устройства.

Если пакет драйвера определенного устройства размещен в хранилище драйверов, то при подключении пользователем этого устройства выполняется автоматическая установка его драйвера, не требующая никаких дополнительных разрешений; при этом пользователь также избавлен от необходимости принимать цифровую подпись. Все файлы пакета драйверов проверены и размещены на клиентском компьютере, поэтому их установка проходит незаметно для пользователя, который в результате получает готовое к работе устройство.

Настройка клиентских компьютеров для поиска пакетов драйверов на общем сетевом ресурсе

В этом сценарии описаны шаги, необходимые для выполнения следующих задач:

Пакеты драйверов могут быть размещены на сетевом ресурсе, доступном для клиентских компьютеров. В операционных системах Windows Vista и Windows Server «Longhorn» существует параметр реестра, позволяющий задавать список папок, в которых ОС Windows должна производить поиск пакетов драйверов, отсутствующих в хранилище драйверов. Этот список может включать в себя сетевые пути к папкам, расположенным на сервере.

Тем не менее, перед установкой драйверов, находящихся на сетевом ресурсе, осуществляется их размещение в хранилище драйверов локального компьютера (все требования, необходимые для выполнения этой процедуры также остаются в силе). Если пакеты драйверов, размещенные в сетевой папке, подписаны сертификатами доверия, и если Вы имеете соответствующие пользовательские разрешения, определяемые политиками установки устройств и позволяющие устанавливать устройства определенного класса, то установка успешно пройдет в автоматическом режиме. Если же пакет драйверов не был подписан, либо не была настроена соответствующая политика управления установкой устройств, пользователь получит запрос о доверии издателю и ему будет предложено ввести данные административной учетной записи.

Наверх страницы

Обзор технологий

В следующих разделах содержится краткий обзор базовых технологий, обсуждаемых в данном руководстве.

Цифровые подписи и сертификаты

Поскольку программное обеспечение драйвера устройства выполняется с системными привилегиями и имеет неограниченный доступ ко всем компонентам компьютера, очень важно убедиться, что устанавливаемые драйверы являются доверенными. Понятие доверия в данном контексте основано на двух главных принципах:

Для соблюдения этих принципов ОС Windows использует цифровые сертификаты и цифровые подписи. Цифровой сертификат идентифицирует организацию и является надежной гарантией ее подлинности, поскольку может быть проверен центром сертификации (ЦС) с помощью электронных методов. В цифровой подписи с помощью цифрового сертификата организации шифруется отдельная информация о пакете.

Зашифрованная в цифровой подписи информация содержит отпечаток каждого файла, включенного в пакет. Отпечаток генерируется с помощью специального криптографического алгоритма, также называемого алгоритмом хеширования. С помощью этого алгоритма генерируется код, основанный на содержимом файла. Изменение хотя бы одного бита в файле приводит к изменению отпечатка этого файла. После того, как отпечатки созданы, они собираются в единый каталог и затем шифруются.

На следующем рисунке показан процесс подписывания пакета драйверов.

*

Этот процесс состоит из следующих этапов:

Исходный пакет драйвера не имеет цифровой подписи и файла каталога (CAT-файла), который может содержать подпись. На шаге 1 изображенной диаграммы выполняется программа Signability, которая создает CAT-файл и помещает в него отпечаток для каждого файла пакета драйвера, указанного в INF-файле. На шаге 2 выполняется программа SignTool, которая шифрует указанный цифровой сертификат, таким образом, подписывая CAT-файл. На шаге 3 подписанный CAT-файл включается в состав пакета драйвера и распространяется на компьютеры пользователей.

Компьютер-получатель проверяет подлинность автора пакета драйвера, используя копию сертификата для дешифрования цифровой подписи этого пакета. Успешное дешифрование является доказательством того, что пакет драйвера был подписан владельцем сертификата.

Во время процесса проверки подлинности используется тот же алгоритм хеширования, что и при создании отпечатков файлов. Windows генерирует отпечаток для каждого полученного файла пакета. Если отпечатки, сгенерированные компьютером-получателем, совпадают с зашифрованными отпечатками, содержащимся в цифровой подписи, получатель может быть уверен, что полученный пакет идентичен исходному пакету. Несовпадение отпечатков означает, что файлы были изменены с момента подписывания, и поэтому не могут считаться надежными.

На каждом компьютере под управлением ОС Windows имеется хранилище для цифровых сертификатов, которым управляет операционная система. Администратор компьютера может добавлять в это хранилище сертификаты издателей, которым он доверяет. Если операционная система не может найти сертификат полученного пакета в хранилище сертификатов, пользователю предлагается подтвердить, что издатель является надежным. Помещая сертификат в хранилища сертификатов на всех клиентских компьютерах, Вы тем самым указываете операционной системе, что все пакеты, подписанные этим сертификатом, являются надежными.

* Важно

Для 64-разрядных версий ОС Windows Vista и Windows Server «Longhorn» требуется, чтобы все драйверы, работающие в режиме ядра, были подписаны сертификатом издателя программного обеспечения, выпущенным центром сертификации. Если Вы используете 64-разрядную версию Windows Vista, Вам необходимо либо иметь уже подписанный пакет драйвера, либо иметь доступ к сертификату издателя программного обеспечения, с помощью которого Вы сможете подписать этот пакет. Если 64-разрядный драйвер, работающий в режиме ядра, будет подписан неправильно, он не сможет успешно загрузиться и работать. Если этот драйвер требуется для загрузки компьютера, компьютер может не загрузиться. Убедитесь, что работа всех пакетов драйверов была проверена на всех различных типах компьютеров, на которые Вы планируете производить развертывание.

Вопросы обеспечения безопасности ключей, используемых для подписывания кода

Криптографические ключи, являющиеся основополагающим элементом процесса подписывания, использующегося в технологии Authenticode, должны быть защищены. Эти ключи являются уникальными идентификаторами организации, и поэтому с ними необходимо обращаться так же, как с наиболее ценным имуществом. Любой код, подписанный этими ключами, воспринимается ОС Windows как код, содержащий действительную цифровую подпись, по которой можно определить организацию, подписавшую этот код. Если ключи украдены, они могут быть использованы в незаконных целях для подписи вредоносного кода. Это может привести к рассылке кода, содержащего троян или вирус и распространяющегося от имени законного издателя.

Для получения более подробной информации по обеспечению безопасности закрытых ключей обратитесь к документу Советы и рекомендации по подписыванию кода (Code Signing Best Practices), ссылка на который содержится в разделе «Дополнительные ресурсы» данного руководства.

Установка устройства

Аппаратное устройство является частью оборудования компьютера и предназначено для выполнения определенных функций при взаимодействии с Windows. Windows может взаимодействовать с устройством только с помощью программного обеспечения, называемого драйвером устройства. Установка устройства и его драйвера в Windows Vista и Windows Server «Longhorn» происходит в соответствии с приведенной ниже диаграммой. Аббревиатура «PnP» на данной диаграмме относится к запущенной в Windows службе Plug and Play. Если любая проверка безопасности оканчивается неудачей, или если Windows не может найти подходящий пакет драйвера устройства, процесс останавливается.

*

  1. Когда пользователь подключает устройство, Windows обнаруживает новый аппаратный компонент и отсылает запрос службе Plug and Play, чтобы задействовать его.

  2. Служба Plug and Play запрашивает у устройства его идентификаторы оборудования.

  3. Для полученных идентификаторов оборудования служба Plug and Play выполняет поиск пакета драйвера в хранилище драйверов. Если подходящий пакет драйвера найден, выполняется шаг 8. В противном случае выполняется шаг 4.

  4. Windows производит поиск подходящего пакета драйвера в перечисленных ниже местоположениях. Если найдено несколько пакетов, Windows выбирает «лучший» из них (этот процесс описан в статье Механизм выбора драйверов программой установки Windows (How Setup Selects Device Drivers), ссылка на которую содержится в разделе «Дополнительные ресурсы» данного руководства).

  5. Windows проверяет, обладает ли пользователь разрешением на размещение пакета драйвера в хранилище драйверов. Для этого пользователь должен иметь учетные данные администратора или должна быть настроена политика компьютера, определяющая список устройств, разрешенных для установки обычным пользователям.

  6. Windows проверяет, имеет ли пакет драйвера действительную цифровую подпись. Если пакет драйвера подписан сертификатом, который является действительным, но не содержится в хранилище доверенных издателей, пользователю предлагается подтвердить прием сертификата.

  7. Windows размещает копию пакета драйвера в хранилище драйверов.

  8. Служба Plug and Play копирует файлы из хранилища драйверов в рабочее местоположение. Как правило, этим местоположением является папка «%systemroot%\windows32\drivers».

  9. Служба Plug and Play выполняет настройки реестра, указывающие, каким образом новый установленный драйвер должен использоваться операционной системой.

  10. Служба Plug and Play запускает установленный драйвер устройства. Этот шаг выполняется каждый раз при перезагрузке компьютера, обеспечивая тем самым перезапуск драйверов.

Для получения дополнительной информации о процессе установки устройств обратитесь к справке диспетчера устройств ОС Windows Vista или Windows Server «Longhorn».

Шаги 4-7 представляют собой процесс подготовки драйверов (авторы руководства на английском языке используют термин «staging») в операционных системах Windows Vista и Windows Server «Longhorn», включающий в себя выполнение операционной системой всех необходимых проверок безопасности и последующее размещение пакета драйвера в защищенном хранилище, доступном для службы Plug and Play. В операционных системах Windows Vista и Windows Server «Longhorn» весь этот процесс может быть отдельно выполнен администратором. После того, как пакет драйвера устройства проверен и помещен в хранилище компьютера, любой пользователь, работающий на этом компьютере, может установить драйвер из этого хранилища, просто подключив соответствующее устройство. При этом пользователь не получит никаких интерактивных запросов, и ему не нужно обладать никакими особыми разрешениями. Подключенное пользователем устройство оказывается готовым к работе без какого-либо вмешательства администратора или специалиста службы поддержки.

Для получения дополнительной информации о хранилище драйверов обратитесь к разделу «Дополнительные ресурсы» данного руководства.

Групповая политика

Групповая политика является административным средством централизованного управления параметрами безопасности и настройки клиентских компьютеров организации. Групповая политика поддерживает автоматическое развертывание цифровых сертификатов на компьютерах, входящих в состав домена. Вместо того, чтобы подходить к каждому клиентскому компьютеру и вручную настраивать его параметры, или писать сложные сценарии входа, Вы можете один раз настроить необходимые параметры и распространить их на управляемые компьютеры с помощью службы каталогов Active Directory, входящей в состав ОС Windows Server «Longhorn», Windows Server 2003 и Windows 2000 Server.

В данном руководстве описываются действия, включающие в себя ручную настройку клиентского компьютера, в том числе ручную установку сертификатов, используемых для подписывания пакетов драйверов. Тем не менее, использование групповой политики Active Directory в рабочей среде с множеством клиентских компьютеров является более эффективным, надежным и безопасным методом управления параметрами безопасности и другими параметрами клиентских компьютеров в соответствии с политикой организации.

Для получения дополнительной информации о групповой политике и службе каталогов Active Directory обратитесь к разделу «Дополнительные ресурсы» данного руководства.

Наверх страницы

Требования, необходимые для подписывания и подготовки пакетов драйверов

Для успешного выполнения сценариев данного руководства Вам необходимо иметь:

*Важно

64-разрядные версии ОС Windows Vista и Windows Server «Longhorn» имеют особые требования к цифровой подписи драйверов, работающих в режиме ядра. Если Вы используете 64-разрядную версию Windows, то для их подписи Вам необходимо использовать сертификат издателя программного обеспечения, выпущенный доверенным центром сертификации. Для получения дополнительной информации обратитесь к разделу «Дополнительные ресурсы» данного руководства.

*Примечание

Новая функция контроля учетных записей, включенная в состав ОС Windows Vista и Windows Server «Longhorn», предлагает новую концепцию защищенной административной учетной записи. Административная учетная запись входит в состав группы Administrators, но по умолчанию прямое использование административных полномочий для этой учетной записи отключено. При попытке выполнить любую задачу, требующую административных полномочий, на экран выводится диалоговое окно, в котором у пользователя запрашивается разрешение на выполнение этой задачи. Это диалоговое окно обсуждается ниже, в разделе «Работа с диалоговым окном User Account Control» данного руководства. Корпорация Microsoft рекомендует использовать защищенную административную учетную запись вместо встроенной учетной записи Administrator всегда, когда это возможно.

Подготовительные действия

Следующие действия помогут подготовить Ваш компьютер для успешного выполнения сценариев данного руководства:

  1. Работа с диалоговым окном «User Account Control»

  2. Включение команды «Run» в меню «Start»

  3. Отключение автоматического поиска драйверов на веб-узле Windows Update

  4. Установка набора Windows Driver Kit

  5. Настройка пакета драйвера тестового устройства «Toaster»

  6. Установка драйвера шины тестового устройства «Toaster»

Работа с диалоговым окном «User Account Control»

При работе с данным руководством Вы часто будете сталкиваться с задачами, которые могут быть выполнены только членами группы Administrators. При попытке выполнения такой задачи в ОС Windows Vista или Windows Server «Longhorn» происходит следующее:

*Важно

Прежде чем вводить учетные данные, разрешающие выполнение любой административной задачи, убедитесь, что диалоговое окно User Account Control появляется в ответ на инициированную Вами попытку запуска этой задачи. Если же диалоговое окно появляется неожиданно, нажмите кнопку Details и выясните, какая задача вызвала это окно, прежде чем разрешить ее выполнение.

В процессе выполнения сценариев, рассматриваемых в данном руководстве, каждый случай появления диалогового окна User Account Control не рассматривается. Если для выполнения определенных административных задач требуются дополнительные действия, они будут рассмотрены.

Включение команды «Run» в меню «Start»

В ОС Windows Vista команда Run в меню Start по умолчанию не отображается. Включение этой команды существенно упростит многие действия, выполняемые в данном руководстве.

*Для включения команды «Run» в меню «Start» выполните следующие действия:

  1. Правой кнопкой мыши щелкните на кнопке Start и в контекстном меню выберите пункт Properties для отображения страницы Taskbar and Start Menu Properties.

  2. На вкладке Start Menu нажмите кнопку Customize напротив переключателя Start menu.

  3. В списке, расположенном в диалоговом окне Customize Start Menu, установите флажок Run command.

  4. Дважды нажмите кнопку OK.

  5. Нажмите кнопку Start и убедитесь, что команда Run отображается в меню.

Отключение автоматического поиска драйверов на веб-узле Windows Update

Когда производится поиск пакета драйвера устройства, по умолчанию Windows обращается к библиотеке драйверов, расположенной на веб-узле Windows Update.

Поиск драйверов на узле Windows Update является полезной функцией для домашних пользователей. Тем не менее, многим администраторам требуется осуществлять контроль над тем, какие драйверы могут быть установлены пользователями. Вы можете настроить политику компьютера, отключающую функцию поиска драйверов на веб-узле Windows Update. Если в сценариях данного руководства Вы используете устройство, пакет драйвера которого доступен на веб-узле Windows Update, то для того, чтобы выполнение сценариев происходило так, как это описано, Вы должны выполнить следующие шаги:

*Для отключения автоматического поиска драйверов на веб-узле Windows Update выполните следующие действия:

  1. Нажмите кнопку Start, правой кнопкой мыши щелкните на значке Computer и в контекстном меню выберите пункт Properties.

  2. В списке Tasks щелкните ссылку Advanced System Settings.

  3. В диалоговом окне System Properties перейдите на вкладку Hardware и нажмите кнопку Windows Update Driver Settings.

  4. Установите переключатель в положение Never check for drivers when I connect a device.

  5. Дважды нажмите кнопку OK и закройте диалоговое окно System.

При отключении функции веб-поиска драйверов их поиск будет производиться только в локальном хранилище драйверов (см. второй сценарий данного руководства) и в папках, перечисленных в параметре реестра DevicePath (см. третий сценарий данного руководства). Если пакет драйвера не будет найден в этих местоположениях, пользователю будет предложено вручную указать путь к необходимым файлам.

*Примечание

Ручная настройка параметров целесообразна только в случае управления небольшим количеством компьютеров. Если Вы хотите отключить поиск драйверов на веб узле Windows Update, используйте групповую политику. Политику Turn off Windows Update device driver searching можно найти, запустив консоль управления групповой политики (Group Policy Management Console) и раскрыв узел Computer Configuration – Administrative Templates – System – Internet Communication Management – Internet Communication settings.

Установка набора Windows Driver Kit

Утилиты MakeCert, Signability и SignTool, используемые для подписывания пакетов драйверов, входят в состав набора Windows Driver Kit (WDK). Драйвер тестового устройства «Toaster», использующегося в данном руководстве, также входит в состав WDK. Если набор WDK еще не установлен на Вашем компьютере, выполните действия, описанные ниже.

*Для установки набора WDK выполните следующие действия:

  1. Войдите в систему под учетной записью DMI-Client1\TestAdmin.

  2. Откройте локальную или сетевую папку, содержащую установочные файлы WDK.

  3. Запустите файл Setup.exe.

  4. На странице Welcome to the Microsoft Windows Driver Kit Setup Wizard нажмите кнопку Next.

  5. Внимательно прочтите лицензионное соглашение на странице End-User License Agreement. Если Вы согласны с условиями лицензионного соглашения, установите переключатель в положение I accept the terms in the License Agreement и нажмите кнопку Next.

  6. На странице Custom Setup нажмите кнопку Next.

  7. На странице Ready to Install нажмите кнопку Install.

  8. После завершения установки нажмите кнопку Finish, чтобы закрыть мастер.

Настройка пакета драйвера тестового устройства «Toaster» для использования в данном руководстве

Если на Вашем компьютере установлен набор Windows Driver Kit, Вы можете выполнить описанные ниже шаги для настройки драйвера тестового устройства «Toaster».

Если же у Вас нет доступа к набору Windows Driver Kit, Вы можете использовать любое устройство, драйвер которого еще не размещен в хранилище драйверов. Пакет драйвера для такого устройства должен быть уже подписан.

Используйте следующие шаги для того, чтобы выполнить компиляцию драйверов тестового устройства и скопировать их в папку. Эти действия являются обычным способом распространения коммерческого пакета драйвера стороннего производителя.

*Для настройки пакета драйвера тестового устройства «Toaster» выполните следующие действия:

  1. Войдите в систему под учетной записью DMI-Client1\TestAdmin.

  2. Нажмите кнопку Start и откройте меню All Programs.

  3. Откройте папку Windows Driver KitsWDK НомерСборки – Build Environment – Windows Vista and Longhorn и щелкните на значке Windows Vista and Windows Server Longhorn x86 Free Build Environment.

    4. *

    Откроется окно командной строки, настроенное для выполнения сборки драйвера устройства.

    *Примечание

    Вы не можете использовать стандартное окно командной строки. При запуске окна командной строки Build Environment выполняются специальные настройки переменной Path и других переменных среды, необходимые для использования средств, предназначенных для сборки драйверов устройств.

  4. Запустите программу Блокнот с указанными ниже параметрами командной строки. Вы должны находиться в папке «c:\winddk\НомерСборки».

    5. notepad copytoastfiles.cmd

  5. В диалоговом окне подтверждения нажмите кнопку Yes, чтобы создать новый файл.

  6. Скопируйте в окно программы Блокнот следующий текст:

    7. REM ----------START COPY HERE----------
    @echo off
    Echo Creating destination folder structure:
    Md c:\toaster
    Md c:\toaster\bus
    Md c:\toaster\device
    Md c:\toaster\device\i386
    Echo Compiling the Bus device driver:
    Cd .\src\general\toaster\bus
    Build -cZ
    Echo Compiling the Plug-in Utility:
    Cd ..\exe\enum
    Build -cZ
    Echo Copying the device driver files to the destination folders:
    Cd ..\..
    Copy .\bus\objfre_wlh_x86\i386\busenum.sys c:\toaster\bus
    Copy .\inf\i386\bus.inf c:\toaster\bus
    Copy .\toastpkg\toastcd\toastpkg.inf c:\toaster\device
    Copy .\toastpkg\toastcd\i386\toaster.sys c:\toaster\device\i386
    Copy .\toastpkg\toastcd\i386\tostrcls.dll c:\toaster\device\i386
    Copy .\exe\enum\objfre_wlh_x86\i386\enum.exe c:\toaster
    Echo Toaster sample device driver is ready to use in c:\toaster
    Cd ..\..\..
    REM ----------END COPY HERE----------

    *Примечание

    Данный сценарий создает папку «Toaster» и может не сработать, если Вы не имеете разрешений на запись в корневую папку диска C:\. Если Вы вошли в систему под административной учетной записью, Вы имеете эти разрешения в установленной по умолчанию ОС Windows. Если Вы хотите создать папку в другом месте жесткого диска, измените данный сценарий соответствующим образом.

  7. Сохраните файл с расширением .CMD и закройте программу Блокнот.

  8. В окне командной строки Build Environment запустите только что созданный Вами CMD-файл.


    copytoastfiles

*Важно

Запуск CMD-файла из командной строки должен быть выполнен из папки, указанной на шаге 4. В противном случае сценарий не выполнится.

Установка драйвера шины тестового устройства «Toaster»

Физически устройства «Toaster», которое Вы подключаете и отключаете в данном руководстве, не существует – оно эмулируется с помощью драйвера, а его поддержка обеспечивается совместной работой специального драйвера шины и соответствующей программы. Так же как и в случае с шиной USB, драйвер шины устройства «Toaster» запускает процесс установки драйвера этого устройства при его обнаружении. Подключение устройства «Toaster» эмулируется программой Enum.exe, включенной в состав его пакета драйвера. Для того чтобы Вы могли эмулировать подключение и удаление устройства с помощью программы Enum.exe, необходимо установить драйвер шины устройства «Toaster».

*Для установки драйвера шины устройства «Toaster» выполните следующие действия:

  1. В окне командной строки Build Environment наберите следующую команду:

    2. mmc devmgmt.msc

  2. В открывшемся диспетчере устройств щелкните правой кнопкой мыши на названии Вашего компьютера и в контекстном меню выберите пункт Add legacy hardware.

  3. На странице Welcome to the Add Hardware Wizard нажмите кнопку Next.

  4. На странице The wizard can help you install other hardware установите переключатель в положение Install the hardware that I manually select from a list (Advanced) и нажмите кнопку Next.

  5. В списке типов устройств выберите категорию System devices и нажмите кнопку Next.

  6. На странице Select the device driver you want to install for this hardware нажмите кнопку Have Disk.

  7. В текстовом поле введите путь c:\toaster\bus и нажмите кнопку OK.

  8. В диалоговом окне Select the device driver you want to install for this hardware выберите устройство Toaster Bus Enumerator и нажмите кнопку Next.

  9. На странице The wizard is ready to install your hardware нажмите кнопку Next.

    10. Поскольку драйвер устройства не имеет цифровой подписи, появится диалоговое окно Windows Security. Щелкните Install для начала процесса установки драйвера.

  10. По завершении установки нажмите кнопку Finish на странице Completing the Add Hardware Wizard.

  11. В диспетчере устройств раскройте узел System Devices.

  12. Убедитесь, что устройство Toaster Bus Enumerator присутствует в списке системных устройств и закройте диспетчер устройств.

  13. Закройте окно командной строки Build Environment.

Наверх страницы



Подписывание пакета драйвера устройства

Для того чтобы подписать пакет драйвера, Вам необходимо иметь цифровой сертификат, предназначенный для подписывания кода. Для получения дополнительной информации о различных типах сертификатов и о процессе их получения обратитесь к разделу «Дополнительные ресурсы» данного руководства. В этом разделе будет описан процесс создания сертификата, который Вы сможете использовать в целях тестирования.

Пошаговая схема подписывания пакета драйвера

  1. Создание цифрового сертификата для подписывания кода

  2. Добавление сертификата в хранилище доверенных корневых центров сертификации

  3. Добавление сертификата в хранилище доверенных издателей

  4. Подписывание пакета драйвера устройства сертификатом

Шаг 1. Создание цифрового сертификата для подписывания кода

На этом шаге Вы создаете сертификат, который может использоваться для подписывания пакета драйвера тестового устройства «Toaster».

Запустите консоль управления MMC и откройте оснастку Certificates для просмотра имеющихся сертификатов.

*Важно

Не запускайте оснастку с помощью команды certmgr.msc, поскольку по умолчанию эта команда открывает хранилище сертификатов учетной записи текущего пользователя, а в данной процедуре требуется, чтобы сертификаты размещались в хранилище локального компьютера.

*Для открытия оснастки «Certificates» консоли управления MMC выполните следующие действия:

  1. Нажмите кнопку Start, выберите в меню команду Run и в открывшемся окне введите: mmc

  2. В меню File окна Console Root выберите команду Add/Remove Snap-in.

  3. В окне Add or Remove Snap-ins выберите оснастку Certificates и нажмите кнопку Add.

  4. В диалоговом окне Certificates snap-in установите переключатель в положение Computer Accountи нажмите кнопку Next.

  5. В диалоговом окне Select Computer установите переключатель в положение Local computer: (the computer this console is running on) и нажмите кнопку Finish.

  6. Нажмите кнопку OK, чтобы закрыть окно Add or Remove Snap-ins.

Оснастка Certificates должна появиться в дереве консоли.

Теперь Вы можете создать сертификат.

*Примечание

Вы не можете использовать открытое ранее окно командной строки Build Environment, поскольку оно было запущено без повышенных разрешений, необходимых для работы программы MakeCert. Запуск программы MakeCert без повышенных разрешений приведет к возникновению критической ошибки отказа в доступе (код 0x5 – Access Denied).

*Для создания цифрового сертификата с помощью программы MakeCert выполните следующие действия:

  1. Запустите окно командной строки Build Environment с повышенными разрешениями. Для этого в меню Start щелкните правой кнопкой мыши на значке Build Environment и в контекстном меню выберите команду Run as administrator.

  2. В командной строке Build Environment наберите следующую команду одной строкой (в данном примере эта команда разделена на несколько строк для удобства чтения):

    3. makecert -r -n "CN=MyCompany - for test use only"
    -ss MyCompanyCertStore
    -sr LocalMachine

    -r

    Этот параметр указывает, что сертификат не будет подписан центром сертификации, а будет являться «самоподписанным». Такой сертификат также называется корневым.

    -n "CN=MyCompany - for test use only"

    Этот параметр задает имя нового сертификата. Рекомендуется использовать имена, позволяющие легко определить сертификат и его назначение.

    -ss MyCompanyCertStore

    Этот параметр задает имя хранилища, куда будет помещен новый сертификат.

    -sr LocalMachine

    Этот параметр указывает, что создаваемое с помощью параметра -ss хранилище является хранилищем локального компьютера, а не хранилищем учетной записи текущего пользователя.

    Когда создание сертификата и хранилища сертификата будет завершено, в командной строке Вы увидите надпись «Succeeded».

  3. Убедитесь, что Ваш новый сертификат был создан правильно. В открытой ранее оснастке Certificates консоли управления MMC раскройте узел Certificates (Local Computer)MyCompanyCertStore – Certificates.

  4. В правой панели дважды щелкните на сертификате MyCompany - for test use only.

    5. Откроется диалоговое окно с информацией о сертификате.

    *

  5. Нажмите кнопку OK, чтобы закрыть диалоговое окно Certificate.

Шаг 2. Добавление сертификата в хранилище доверенных корневых центров сертификации

Выполнение данного шага требуется в случае использования локально созданных сертификатов, таких как сертификаты, созданные с помощью программы MakeCert, по которым нельзя проследить прямую цепочку до сертификата доверенного корневого издателя сертификации.

По умолчанию Ваш новый сертификат имеет статус не имеющего доверия (Untrusted), поскольку Windows не может проверить его достоверность в компьютерном хранилище доверенных корневых центров сертификации. Чтобы в операционных системах Windows Vista и Windows Server «Longhorn» любой сертификат считался действительным, необходимо, чтобы по нему можно было проследить прямую цепочку до сертификата, находящегося в этом хранилище.

Выполнение данного шага не требуется в случае использования коммерческих сертификатов, выданных Вам центром сертификации, поскольку эти сертификаты уже имеют свой корневой сертификат в компьютерном хранилище доверенных корневых центров сертификации.

*Примечание

Сертификаты, размещенные в хранилище доверенных корневых центров сертификации текущего пользователя, не подтверждают достоверность цифровых подписей пакетов драйверов.

*Для добавления тестового сертификата в хранилище доверенных корневых ЦС выполните следующие действия:

  1. В оснастке Certificates консоли управления MMC щелкните правой кнопкой мыши на сертификате MyCompany - for test use only и в контекстном меню выберите команду Copy.

  2. Щелкните правой кнопкой мыши на хранилище Trusted Root Certification Authorities и в контекстном меню выберите команду Paste.

  3. Раскройте узел Trusted Root Certification AuthoritiesCertificates и в правой панели дважды щелкните на сертификате MyCompany - for test use only.

  4. Убедитесь, что сообщение «Untrusted» больше не выводится, и нажмите кнопку OK, чтобы закрыть сертификат.

Шаг 3. Добавление сертификата в компьютерное хранилище доверенных издателей

Для того чтобы Ваш новый сертификат мог выступать в качестве подтверждения достоверности цифровой подписи пакетов драйверов, его также необходимо разместить в компьютерном хранилище доверенных издателей.

*Примечание

Сертификаты, размещенные в хранилище доверенных издателей текущего пользователя, не подтверждают достоверность цифровых подписей пакетов драйверов.

*Для добавления тестового сертификата в хранилище доверенных издателей выполните следующие действия:

  1. В оснастке Certificates консоли управления MMC щелкните правой кнопкой мыши на сертификате MyCompany - for test use only и в контекстном меню выберите команду Copy.

  2. Щелкните правой кнопкой мыши на хранилище Trusted Publishers и в контекстном меню выберите команду Paste.

  3. Раскройте узел Trusted PublishersCertificates и убедитесь, что копия Вашего сертификата находится в хранилище.

  4. Нажмите кнопку OK, чтобы закрыть сертификат.

Шаг 4. Подписывание пакета драйвера устройства сертификатом

Если Вы используете тестовое устройство «Toaster» и его пакет драйвера – выполните следующие действия для замены существующей цифровой подписи своей собственной. Также эти действия следует выполнить, если Вы хотите внедрить в Вашей организации политику, для работы которой все драйверы устройств должны быть подписаны сертификатом Вашей организации.

Если Вы используете пакет драйвера, уже подписанный производителем, то этот пакет уже содержит рабочий файл каталога (CAT-файл), на который ссылается INF-файл. В этом случае Вы можете пропустить первые два шага и начать с шага «Подписывание CAT-файла с помощью программы SignTool».

Шаги, необходимые для подписывания драйвера устройства:

  1. Подготовка INF-файла пакета драйвера

  2. Создание CAT-файла для пакета драйвера

  3. Подписывание CAT-файла с помощью программы SignTool

Подготовка INF-файла пакета драйвера

INF-файл управляет процессом установки пакета драйвера. Цифровая подпись пакета драйвера находится в файле каталога (файл с расширением .CAT). Убедитесь, что используемый для установки пакета драйвера INF-файл содержит ссылку на файл каталога.

В дополнение к этому, для драйвера тестового устройства «Toaster», использующегося в данном руководстве, Вы должны также изменить штамп времени и номер версии.

Совместный установщик (co-installer) – это предоставляемый производителем устройства программный код, который может быть выполнен в процессе установки устройства и который позволяет более гибко управлять программой установки. Совместный установщик драйвера тестового устройства «Toaster» отображает дополнительные программы, которые может установить пользователь. В данных сценариях совместный установщик не используется, поэтому в следующей процедуре Вы удалите его из INF-файла.

*Примечание

Если Ваш пакет драйвера уже имеет цифровую подпись производителя и, следовательно, INF-файл уже ссылается на действительный файл каталога, Вы можете пропустить данную процедуру.

*Для подготовки INF-файла пакета драйвера выполните следующие действия:

  1. В окне командной строки Build Environment, запущенной с повышенными разрешениями, перейдите в папку, содержащую пакет драйвера. Для этого наберите следующую команду:

    2. cd \toaster\device

  2. Наберите следующую команду:

    3. Notepad toastpkg.inf

    В программе Notepad откроется содержимое INF-файла.

  3. Найдите раздел [Version]. Исходный файл содержит следующие строки:

    4. CatalogFile.NTx86 = tostx86.cat
    CatalogFile.NTIA64 = tostia64.cat
    CatalogFile.NTAMD64 = tstamd64.cat

  4. Удалите эти три строки и замените их следующий строкой:

    5. CatalogFile = toaster.cat

  5. В разделе [Version] найдите строку, начинающуюся с DriverVer=. Замените дату и номер версии таким образом, чтобы получилась следующая строка:

    6. DriverVer=04/01/2006,9.9.9.9

  6. В разделе [Toaster_Device.NT.CoInstallers] найдите и удалите следующие три строки:

    7. [Toaster_Device.NT.CoInstallers]
    AddReg=CoInstaller_AddReg
    CopyFiles=CoInstaller_CopyFiles

  7. Сохраните изменения и закройте программу Блокнот.

Создание CAT-файла для пакета драйвера

Следующим Вашим действием является создание CAT-файла для пакета драйвера тестового устройства «Toaster» с помощью программы Signability. Эта программа анализирует INF-файл пакета драйвера и генерирует уникальные хеши для всех файлов, на которые ссылается INF-файл. Получатель пакета драйвера использует хеши для проверки того, что полученные файлы не были изменены с момента подписывания.

Если Ваш пакет драйвера уже имеет цифровую подпись производителя, то CAT-файл уже существует, и Вам не нужно создавать новый файл. Вы можете пропустить данную процедуру и перейти к следующему шагу «Подписывание CAT-файла с помощью программы SignTool», чтобы заменить цифровую подпись разработчика драйвера своей собственной.

*Примечание

Программа Signability должна выполняться из командной строки, запущенной с повышенными разрешениями.

*Для создания CAT-файла для пакета драйвера выполните следующие действия:

  1. В окне командной строки Build Environment, запущенном с повышенными разрешениями, наберите следующую команду:

    2. signability /driver:c:\toaster\device /os:256 /auto /cat

    /driver:c:\toaster\device

    Этот параметр указывает местоположение INF-файла для пакета драйвера. Вы должны указать полный путь. Символ «.» в данном случае не может использоваться для указания текущей папки в относительном пути.

    /os:256

    Этот параметр указывает, что операционной системой является 32-разрядная версия ОС Windows Vista. Для получения полного списка поддерживаемых операционных систем и их кодов выполните команду signability /?.

    /auto

    Этот параметр указывает, что процедура должна быть выполнена автоматически, без вмешательства пользователя.

    /cat

    Этот параметр указывает, что создается файл каталога, указанный в INF-файле.

  2. Просмотрите информацию, выводимую программой Signability. Обратите внимание на то, что для каждого файла выводится предупреждение о том, что CAT-файл не будет являться доверенным до тех пор, пока он не будет подписан Вами.

    3. Signability v2.19 (engine v01.01.0005)
    ================================================
    Test Results for c:\toaster\device
    Testing versus the following operating systems:
    Windows Vista (32-bit)
    Final result: Test passed with warnings. (Details below.)
    Warnings:
    WARN: \toastpkg.inf is not represented by a signed catalog file.
    WARN: \i386\toaster.sys is not represented by a signed catalog file.
    WARN: \i386\tostrcls.dll is not represented by a signed catalog file.
    Catalog files successfully generated.

    Закройте программу Блокнот, когда закончите просмотр отчета.

  3. Просмотрите созданный CAT-файл, который находится в папке «c:\toaster\driver». Для этого в командной строке наберите следующую команду:

    4. start toaster.cat

    Откроется диалоговое окно Security Catalog, показывающее, что каталог не подписан. Поскольку CAT-файл не подписан, кнопка просмотра цифровой подписи View Signature недоступна.

    *

  4. Перейдите на вкладку Security Catalog. В разделе Catalog entries содержатся три записи: для INF-файла, для SYS-файла и для DLL-файла, входящих в состав пакета драйвера. Щелкните мышью на каждой записи и обратите внимание на то, что в разделе Entry Details для каждого файла указан отпечаток (хеш), который может использоваться для проверки целостности файла.

  5. Нажмите кнопку OK, чтобы закрыть диалоговое окно Security Catalog.

Подписывание CAT-файла с помощью программы SignTool

Теперь, когда у Вас имеется файл каталога, Вы можете подписать его с помощью программы SignTool. Независимо от того, используете ли Вы тестовое устройство «Toaster» или любое другое устройство, выполните следующие шаги.

*Важно

При подписывании пакета драйвера Вам следует всегда устанавливать штамп времени, определяющий дату создания цифровой подписи. Если сертификат будет отозван по соображениям безопасности, или если закончится срок его действия, действительными будут только те подписи, которые были созданы ранее даты отзыва или окончания срока действия сертификата. Если штамп времени не включен в цифровую подпись, Windows не сможет определить, когда был подписан пакет – до или после даты отзыва или окончания срока действия сертификата, и цифровая подпись не будет принята.

*Для подписывания CAT-файла с помощью программы SignTool выполните следующие действия:

  1. В окне командной строки Build Environment, запущенном с повышенными разрешениями, наберите следующую команду одной строкой (в данном примере эта команда разделена на несколько строк для удобства чтения):

    2. SignTool sign /s MyCompanyCertStore /n MyCompany
    /t http://timestamp.verisign.com/scripts/timestamp.dll
    toaster.cat

    /s MyCompanyCertStore

    Этот параметр задает имя хранилища сертификатов, в котором программа SignTool осуществляет поиск сертификата, указанного в параметре /n.

    /n MyCompany

    Этот параметр задает имя сертификата, который используется для подписывания пакета драйвера. Вы должны указать достаточно длинный фрагмент имени сертификата, чтобы программа SignTool смогла отличить его от других сертификатов, расположенных в хранилище. Если имя сертификата содержит пробелы, Вы должны заключить его в двойные кавычки.

    /t path to time stamping service

    Этот параметр задает путь к службе штампа времени доверенного центра сертификации. Если Ваш сертификат был заказан у коммерческого поставщика, Вам должны были сообщить соответствующий путь к службе.

    toaster.cat

    Этот параметр задает имя подписываемого CAT-файла и путь к нему.

    По завершении работы программы Signtool Вы должны увидеть следующее сообщение:

    Successfully signed and timestamped: toaster.cat

  2. Для просмотра и проверки подписанного CAT-файла наберите в командной строке следующую команду:

    3. start toaster.cat

  3. Убедитесь, что в верхней части страницы общих свойств диалогового окна Security Catalog отображается информация о том, что каталог имеет статус доверенного (Trusted), а кнопка View Signature доступна.

  4. Нажмите кнопку View Signature и убедитесь в правильности данных цифровой подписи, которую Вы добавили к пакету драйвера. Никакие другие элементы CAT-файла не были изменены.

Наверх страницы

Размещение пакета драйвера устройства в хранилище драйверов

Размещение пакета драйвера устройств в хранилище драйверов на клиентском компьютере позволяет обеспечить наиболее эффективную работу пользователя. После того, как подписанный пакет драйвера помещен в хранилище, Windows считает его надежным. До тех пор, пока для определенного устройства не заданы политики, ограничивающие его установку, пользователь может просто подключить это устройство, а операционная система автоматически установит соответствующий драйвер незаметно для пользователя.

В состав ОС Windows включена утилита PnPUtil, с помощью которой Вы можете работать с хранилищем драйверов, выполняя такие действия, как добавление, удаление и просмотр пакетов драйверов, находящихся в хранилище.

*Важно

Вы можете работать с программой PnPUtil только в командной строке, запущенной с повышенными разрешениями. Программа PnPUtil не может вызывать диалоговое окно User Account Control. Если Вы попытаетесь использовать эту программу для добавления или удаления пакетов из командной строки, не запущенной от имени администратора, выполнение команд окончится неудачей.

Пошаговая схема размещения пакета драйвера устройства в хранилище драйверов

  1. Попытка разместить неподписанный пакет драйвера

  2. Попытка разместить подписанный, но впоследствии измененный пакет драйвера

  3. Попытка разместить пакет драйвера, подписанный надлежащим образом

  4. Проверочная установка подписанного пакета драйвера

Шаг 1. Попытка разместить неподписанный пакет драйвера

Windows прерывает попытку установки неправильно подписанного пакета драйвера.

*Чтобы попытаться разместить неподписанный пакет драйвера, выполните следующие действия:

  1. В окне командной строки Build Environment, запущенном с повышенными разрешениями, временно переименуйте CAT-файл, чтобы гарантированно удалить цифровую подпись из пакета драйвера. Для этого наберите следующую команду:

    2. ren toaster.cat toaster.nosig

  2. Попытайтесь поместить неподписанный пакет в хранилище драйверов. Для этого в окне командной строки, запущенном с повышенными разрешениями, наберите следующую команду:

    3. pnputil.exe -a toastpkg.inf

    Поскольку INF-файл не подписан, Вы увидите диалоговое окно Windows Security. ОС Windows не может сопоставить этот файл с каким-либо сертификатом, являющимся доверенным для компьютера.

  3. Щелкните Don’t Install.

    4. Программа PnPUtil сообщит, что размещение пакета драйвера в хранилище окончилось неудачей:

    Adding the driver package failed : A file could not be verified because it does not have an associated catalog signed via Authenticode(tm).
    Adding at least one driver package failed!

  4. Верните файлу каталога его первоначальное имя. Для этого в командной строке наберите следующую команду:

Ren toaster.nosig toaster.cat

Шаг 2. Попытка разместить подписанный, но впоследствии измененный пакет драйвера

Windows также прерывает попытку установки пакета драйвера, который был изменен с момента подписания. Поскольку цифровая подпись включает в себя отпечатки для всех файлов пакета драйвера, изменение любого из них приводит к тому, что проверка достоверности цифровой подписи оканчивается неудачей.

*Чтобы попытаться разместить подписанный, но впоследствии измененный пакет драйвера, выполните следующие действия:

  1. Сохраните исходную копию файла toastpkg.inf. Для этого в командной строке наберите следующую команду:

    2. Copy toastpkg.inf toastpkg.orig

  2. Измените файл toastpkg.inf. Это приведет к тому, что отпечаток этого файла станет недействительным. Для изменения файла откройте его в программе Notepad:

    3. notepad toastpkg.inf

  3. Установите курсор в самом начале файла, нажмите клавишу Enter, чтобы добавить пустую строку, сохраните изменения и закройте программу Блокнот.

  4. Попытайтесь поместить измененный пакет в хранилище драйверов. Для этого в командной строке наберите следующую команду:

    5. pnputil.exe -a toastpkg.inf

    Так как пакет был изменен с момента подписания, Вы увидите диалоговое окно Windows Security, предупреждающее о том, что цифровая подпись недействительна.

  5. Щелкните Don’t Install.

  6. Замените измененный файл modified .inf его исходной копией. Для этого в командной строке наберите следующую команду:

Copy /y toastkg.orig toastpkg.inf

Шаг 3. Попытка разместить пакет драйвера, подписанный надлежащим образом

*Чтобы попытаться разместить пакет драйвера, подписанный надлежащим образом, выполните следующие действия

  1. Попытайтесь поместить пакет драйвера в хранилище драйверов. Для этого в командной строке наберите следующую команду:

pnputil.exe -a toastpkg.inf

Так как прикрепленная к пакету цифровая подпись является действительной, файлы пакета не были изменены, и отпечатки файлов пакета совпадают с отпечатками, содержащимися в цифровой подписи, Windows успешно поместит пакет драйвера в хранилище, не запрашивая у пользователя никаких действий. По завершении своей работы программа выводит имя, под которым был опубликован пакет драйвера, включающее в себя номер OEM, который Вы можете использовать для того, чтобы впоследствии при необходимости удалить пакет драйвера из хранилища. Запишите номер, присвоенный Вашему пакету драйверов.

Processing inf : toastpkg.inf
Driver Package added successfully.
Published name : oem4.inf

*Примечание

Номер, присвоенный Вашему пакету драйвера, может отличаться от приведенного выше в зависимости от количества пакетов, уже установленных на компьютере.

Вы можете просмотреть список пакетов, находящихся в хранилище драйверов, запустим программу PnPUtil с параметром -e.

*Чтобы убедиться, что пакет находится в хранилище драйверов, выполните следующие действия:

  1. В командной строке наберите следующую команду:

    2. pnputil.exe -e

  2. Найдите в списке Ваш пакет драйверов с номером OEM, присвоенном при добавлении пакета в хранилище драйверов. Запишите этот номер, поскольку он может понадобиться Вам позже. Вы также можете видеть номер версии и дату, которые Вы указывали в INF-файле.

Published name : oem4.inf
Driver package provider : Toast?R?Us
Class : Unknown driver class
Driver verstion and date : 04/01/2006 9.9.9.9
Signer name : MyCompany - for test use only

Шаг 4. Проверочная установка подписанного пакета драйвера

На этом этапе пакет драйвера находится в хранилище драйверов. Пакет был помещен администратором в хранилище драйверов, операционная система выполнила проверку достоверности цифровой подписи, и, таким образом, драйвер устройства может быть установлен обычным пользователем. От пользователя требуется просто подключить устройство.

*Примечание

Несмотря на то, что Windows может устанавливать драйверы, расположенные в хранилище драйверов, от имени обычного пользователя, в следующей процедуре Вы запускаете программу Enum.exe от имени администратора. Наличие повышенных разрешений необходимо не для процесса установки драйвера, а для того, чтобы можно было программно эмулировать установку аппаратного устройства. Если в следующей процедуре Вы используете реальное устройство и соответствующий драйвер, предоставленный производителем, то при подключении этого устройства Вам не требуется иметь в системе привилегии администратора.

*Для выполнения проверочной установки пакета драйвера, размещенного в хранилище драйверов, выполните следующие действия:

  1. Завершите сеанс работы и войдите в систему под учетной записью DMI-Client1\TestUser.

  2. Запустите командную строку с правами администратора. Для этого в меню Start выберите пункт All ProgramsAccessories, щелкните правой кнопкой мыши на значке Command Prompt и в контекстном меню выберите команду Run as administrator.

  3. В диалоговом окне User Account Control Вам будет предложено указать имя и пароль учетной записи администратора. Выберите учетную запись DMI-Client1\TestAdmin и введите пароль для нее.

    4. Откроется окно командной строки.

  4. Запустите диспетчер устройств (Device Manager) для просмотра установленных в системе устройств. Для этого в командной строке, запущенной с повышенными разрешениями, наберите следующую команду:

    5. mmc devmgmt.msc

  5. Расположите окна на рабочем столе таким образом, чтобы Вы одновременно могли работать с командной строкой и видеть окно диспетчера устройств.

  6. Перейдите в папку «c:\toaster». Для этого в командной строке наберите следующую команду:

    7. cd \toaster

  7. Запустите программу Enum.exe, эмулирующую подключение устройства «Toaster». Для этого в командной строке наберите следующую команду:

Enum -p 1
 

 

По окончании установки драйвера устройства это устройство появится в окне диспетчера устройств.

*

*Примечание

Не удаляйте устройство из системы, пока Вам не будет предложено сделать это в следующей процедуре.

Наверх страницы



Настройка общей сетевой папки для хранения подписанных пакетов драйверов

Вместо того чтобы размещать каждый проверенный пакет в хранилище драйверов, Вы можете разместить подписанные пакеты в общей сетевой папке и настроить клиентские компьютеры таким образом, чтобы при подключении нового устройства поиск драйверов осуществлялся в этой папке.

Пакет драйвера, хранящийся в общей сетевой папке, должен быть надлежащим образом подписан сертификатом, установленным на клиентском компьютере. Тем не менее, перед установкой драйверов, находящихся на сетевом ресурсе, осуществляется их размещение в хранилище драйверов локального компьютера. Поскольку по умолчанию обычный пользователь не может выполнять процедуру размещения пакетов драйверов в хранилище, необходимо настроить и применить компьютерную политику управления установкой устройств, позволяющую устанавливать определенные драйверы без необходимости использования повышенных разрешений. Для получения дополнительной информации о политиках, разрешающих и запрещающих установку устройств определенных классов, обратитесь к разделу «Дополнительные ресурсы» данного руководства.

*Важно

Для упрощения демонстрации использования параметра реестра DevicePath в данном руководстве используется локальная папка. В рабочей среде используйте общую сетевую папку, чтение содержимого которой разрешено всем пользователям.

Пошаговая схема настройки общей сетевой папки для хранения подписанных пакетов драйверов

  1. Создание папки для хранения пакетов драйверов устройств

  2. Настройка клиентского компьютера для поиска пакетов драйверов в дополнительных папках

  3. Настройка клиентского компьютера, позволяющая устанавливать устройства обычным пользователям

  4. Удаление драйвера устройства и пакета драйвера, установленных на предыдущем этапе

  5. Установка пакета драйвера устройства из дополнительной папки

Шаг 1. Создание папки для хранения пакетов драйверов устройств

Операционные системы Windows Vista и Windows Server «Longhorn» позволяют Вам настраивать клиентские компьютеры таким образом, чтобы в случае не обнаружения пакетов драйверов в локальном хранилище их поиск выполнялся в дополнительных папках. Если пакет драйверов найден в дополнительной папке, Windows не будет предлагать пользователю указать расположение пакета драйвера устанавливаемого устройства.

Даже после того, как пакет драйвера помещен в общую сетевую папку, Вы должны иметь возможность поместить его в хранилище драйверов. Также Вы должны будете одобрить цифровую подпись, если сертификат пакета драйвера не содержится в хранилище сертификатов доверенных издателей.

В следующей процедуре Вы создадите папку на компьютере DMI-Client1 и затем скопируете в нее подписанный пакет драйвера.

*Для того, чтобы создать папку для хранения пакетов драйверов, выполните следующие действия:

  1. Завершите сеанс работы и войдите в систему под учетной записью DMI-Client1\TestAdmin.

  2. Запустите командную строку. Для этого в меню Start выберите пункт All ProgramsAccessoriesCommand Prompt.

  3. Создайте новую папку. Для этого в командной строке наберите следующую команду:

    4. md c:\drivershare

  4. Чтобы скопировать Ваш подписанный пакет драйвера в созданную папку, в командной строке наберите следующую команду:


    xcopy /s c:\toaster\device c:\drivershare

Шаг 2. Настройка клиентского компьютера для поиска пакетов драйверов в дополнительных папках

В операционных системах Windows Vista и Windows Server «Longhorn» существует параметр реестра, позволяющий Вам указать для операционной системы дополнительные папки, в которых должен производиться поиск драйверов вновь обнаруживаемых аппаратных устройств. По умолчанию в этом параметре указана только одна папка – «%SystemRoot%\Inf». Вы можете добавить в список этого параметра дополнительные папки, разделив их точкой с запятой. Эти папки могут являться как локальными, так и сетевыми папками вида \\ИмяСервера\ИмяПапки.

*Чтобы настроить клиентский компьютер для поиска пакетов драйверов в дополнительных папках, выполните следующие действия:

  1. В командной строке наберите следующую команду:

    2. RegEdit

    *Внимание

    Некорректное редактирование системного реестра привести к существенным повреждениям операционной системы. Прежде чем приступать к редактированию реестра, создайте резервную копию всех важных данных, расположенных на компьютере.

  2. В редакторе реестра перейдите в следующий раздел:

    3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

  3. В области сведений дважды щелкните параметр DevicePath.

  4. Добавьте в конец строки точку с запятой и затем добавьте путь к Вашей папке. В результате значение параметра должно выглядеть следующим образом:

    5. %SystemRoot%\inf;c:\drivershare

    * Важно

    Не удаляйте путь «%SystemRoot%\inf» из параметра DevicePath.

  5. Нажмите кнопку OK, чтобы сохранить новое значение.

Шаг 3. Настройка клиентского компьютера, позволяющая устанавливать устройства обычным пользователям

По умолчанию обычный пользователь не может выполнять процедуру размещения пакета драйвера в хранилище драйверов. Тем не менее, в операционных системах Windows Vista и Windows Server «Longhorn» Вы можете использовать политику компьютера, в которой указываются глобальные уникальные коды (GUID) классов настройки устройств, пакеты драйверов которых пользователи могут размещать в хранилище драйверов.

*Примечание

Рассматриваемая здесь процедура предназначена для выполнения на отдельном компьютере, и не может применяться к большому количеству компьютеров. Для применения конфигурации компьютера к большому количеству управляемых рабочих станций используйте групповую политику и службу каталогов Active Directory. Для получения дополнительной информации о групповой политике и службе Active Directory обратитесь к разделу «Дополнительные ресурсы» данного руководства.

Код GUID класса настройки устройства можно обнаружить либо просмотрев INF-файл из состава пакета драйвера устройства, либо открыв диалоговое окно Device Properties уже установленного устройства.

*Для поиска кода GUID класса настройки устройства в INF-файле выполните следующие действия:

  1. Откройте INF-файл с помощью программы Блокнот. Для этого в командной строке наберите следующую команду:

    2. Notepad c:\toaster\device\toastpkg.inf

  2. В разделе [Version] найдите строку, начинающуюся с ClassGuid=, и скопируйте ее значение. Для тестового устройства «Toaster» эта строка выглядит следующим образом:

    3. ClassGuid={B85B7C50-6A01-11D2-B841-00C04FAD5171}

  3. Выделите код GUID, включая символы «{ }», нажмите правую кнопку мыши и в контекстном меню выберите команду Copy.

  4. Закройте программу Блокнот. Убедитесь, что Вы не изменили INF-файл.

Если на компьютере уже установлено работающее устройство, то его код GUID можно посмотреть на странице свойств в диспетчере устройств.

*Для поиска кода GUID класса настройки устройства на странице его свойств выполните следующие действия:

  1. В диспетчере устройств (Device Manager) найдите устройство Toaster Package Sample Toaster, щелкните на нем правой кнопкой мыши и в контекстном меню выберите пункт Properties.

  2. В диалоговом окне Toaster Package Sample Toaster Properties перейдите на вкладку Details.

  3. В раскрывающемся списке Property выберите параметр Device class guid.

  4. Скопируйте значение этого параметра. Это значение совпадает со значением в INF-файле.

  5. Щелкните правой кнопкой мыши на коде GUID и в контекстном меню выберите команду Copy.

  6. Нажмите кнопку OK, чтобы закрыть страницу свойств устройства.

Теперь у Вас есть код GUID, соответствующий устройству, которое Вы хотите установить. Вы можете добавить этот код в список политики компьютера, определяющей, какие устройства могут быть установлены обычными пользователями.

*Для настройки компьютера, позволяющей обычным пользователям устанавливать устройства, принадлежащие определенному классу, выполните следующие действия:

  1. В командной строке наберите следующую команду:

    2. Mmc gpedit.msc

  2. В дереве консоли редактора объектов групповой политики (Group Policy Object Editor) раскройте узел Computer Configuration – Administrative Templates – System – Driver Installation.

  3. В области сведений дважды щелкните мышью на политике Allow non-administrators to install devices for these device classes.

  4. В диалоговом окне политики установите переключатель в положение Enabled и нажмите кнопку Show.

  5. В диалоговом окне Show Contents нажмите кнопку Add.

  6. В поле Add Item нажмите правую кнопку мыши и в контекстном меню выберите команду Paste, чтобы вставить код GUID.

    7. {B85B7C50-6A01-11D2-B841-00C04FAD5171}

  7. Нажмите три раза на кнопку OK, чтобы закрыть все диалоговые окна и вернуться в редактор объектов групповой политики.

  8. Закройте редактор объектов групповой политики.

  9. В окне командной строки Build Environment, запущенной с повышенными разрешениями, примените политику к текущему сеансу, набрав команду:

gpupdate /force

*Примечание

Команда GPUpdate не может вызвать диалоговое окно User Account Control для запроса административных учетных данных, поэтому убедитесь, что Вы запускаете эту команду с правами администратора.

Шаг 4. Удаление драйвера устройства и пакета драйвера, установленных на предыдущем этапе

Прежде чем Вы сможете установить драйвер устройства из дополнительной папки, Вы должны удалить уже установленный драйвер и пакет драйвера этого устройства из хранилища драйверов.

*Примечание

Вам необходимо удалить установленный ранее пакет драйвера только лишь потому, что в данном руководстве демонстрируется дополнительный метод его установки.

*Для удаления установленного ранее устройства выполните следующие действия:

  1. В диспетчере устройств щелкните правой кнопкой мыши на устройстве Toaster Package Sample Toaster и в контекстном меню выберите команду Uninstall.

  2. В диалоговом окне Confirm Device Removal нажмите кнопку OK.

    3. Устройство перестанет отображаться в окне диспетчера устройств.

  3. Запустите программу Enum.exe, эмулирующую отключение устройства «Toaster». Для этого в командной строке, запущенной с повышенными разрешениями, наберите следующую команду:

    4. Enum -u 1

    Устройство будет отключено, а его драйвер удален из памяти.

  4. Чтобы удалить пакет драйвера устройства из хранилища драйверов, в командной строке наберите следующую команду:

    5. pnputil.exe -d oem##.inf

    Вместо символов ## в этой команде Вы должны подставить номер, записанный Вами ранее. Если Вы забыли этот номер, запустите команду pnputil -e и найдите в списке устройство «Toaster».

    Пакет будет удален из хранилища драйверов.

  5. Запустите команду pnputil.exe -e снова, чтобы убедиться в том, что пакет удален.

Шаг 5. Установка пакета драйвера устройства из дополнительной папки

Теперь, когда пакет драйвера находится в созданной Вами папке, а клиентский компьютер настроен для поиска в этой папке пакетов драйверов подключаемых устройств, Вы можете установить устройство.

*Для установки пакета драйверов из общей сетевой папки выполните следующие действия:

  1. Завершите сеанс работы и войдите в систему под учетной записью DMI-Client1\TestUser.

  2. Запустите командную строку с правами администратора. Для этого в меню Start выберите пункт All ProgramsAccessories, щелкните правой кнопкой мыши на значке Command Prompt и в контекстном меню выберите команду Run as administrator.

  3. В диалоговом окне User Account Control Вам будет предложено указать имя и пароль учетной записи администратора. Выберите учетную запись DMI-Client1\TestAdmin и введите пароль для нее.

    4. Откроется окно командной строки.

  4. Запустите диспетчер устройств (Device Manager) для просмотра установленных в системе устройств. Для этого в командной строке, запущенной с повышенными разрешениями, наберите следующую команду:

    5. mmc devmgmt.msc

  5. Расположите окна на рабочем столе таким образом, чтобы Вы одновременно могли работать с командной строкой и видеть окно диспетчера устройств.

  6. Перейдите в папку «c:\toaster». Для этого в командной строке наберите следующую команду:

    7. cd \toaster

  7. Запустите программу Enum.exe, эмулирующую подключение устройства «Toaster». Для этого в командной строке наберите следующую команду:

    8. Enum -p 1

    Windows начнет процесс установки устройства. В разделе Other диспетчера устройств появится новое устройство.

  8. В диалоговом окне Found New Hardware щелкните Locate and install driver software (recommended).

    9. Поскольку операционная система не может найти пакет драйвера в локальном хранилище, она выполняет поиск в папках, перечисленных в параметре реестра DevicePath, и находит пакет драйвера в указанной папке.

  9. Процесс размещения пакета драйвера и его последующей установки займет некоторое время. Если Вы щелкните на значке установки устройства, Вы увидите сообщение о том, что выполняется установка драйверов, а затем Вы увидите сообщение об успешной установке устройства Toaster Package Sample Toaster.

Поскольку политика компьютера разрешает установку устройств данного класса, а пакет должным образом подписан доверенным издателем, установка пакета драйвера успешно завершится без какого-либо дополнительного вмешательства со стороны пользователя. Запись Unknown Device в диспетчере устройств будет заменена на Toaster.

*

Наверх страницы

Заключение

В данном руководстве, работая в лабораторной среде, Вы использовали демонстрационное устройство и его драйвер, чтобы научиться безопасно размещать пакеты драйверов устройств на компьютерах пользователей. В этой конфигурации обычный пользователь может самостоятельно устанавливать драйверы устройств без какой-либо помощи со стороны администратора. Для создания такой конфигурации необходимо было выполнить следующие действия:

  • Подписывание пакета драйвера, необходимое для того, чтобы ОС Windows считала его надежным. Эта задача состояла из следующих этапов: создание сертификата для подписывания пакета драйвера, настройка клиентских компьютеров для работы с этим сертификатом, создание файла каталога, содержащего цифровую подпись, подписывание файла каталога и его добавление в состав пакета драйвера.

  • Размещение пакета драйвера в хранилище драйверов на клиентском компьютере. В этой задаче было показано, как с помощью программы PnPUtil.exe администратор может разместить пакеты драйверов в хранилище драйверов таким образом, чтобы они могли быть установлены любым пользователем.

  • Настройка клиентского компьютера для поиска пакетов драйверов в дополнительных папках, если эти пакеты не были найдены в локальном хранилище драйверов. В этой задаче был описан процесс изменения параметра реестра и добавления новой локальной или сетевой папки в список папок, которые ОС Windows использует для поиска пакетов драйверов при установке нового аппаратного устройства. Данная процедура избавляет пользователя от необходимости вручную задавать путь к файлам драйвера или предоставлять дополнительные носители. Также в этой задаче было показано, каким образом можно настроить политику компьютера, позволяющую обычному пользователю размещать в локальном хранилище и, таким образом, устанавливать драйверы устройств, принадлежащих определенным классам.

Наверх страницы

Замечания и отзывы

Корпорация Microsoft будет рада получить Ваши отзывы об этом документе. Если сценарии работают не так, как описано в данном руководстве, или не отвечают Вашим потребностям, пожалуйста, сообщите об этом. Корпорация Microsoft будет использовать полученную от Вас информацию для улучшения данного документа. Присылайте Ваши замечания по адресу электронной почты Vista Feedback (vistafb@microsoft.com).

Чтобы оставить свой отзыв, перейдите по ссылке Контактные сведения, расположенной на веб-странице операционной системы Windows Vista.

Наверх страницы

Дополнительные ресурсы

Дополнительная информация по установке устройств:

Дополнительная информация о функции User Account Control в Windows Vista:

Дополнительная информация о цифровых сертификатах и цифровых подписях:

  • Раздел О криптографии на веб-узле MSDN
    About Cryptography (EN)
  • Руководство по работе с инфраструктурой открытых ключей (PKI) в ОС Windows Server
    Windows Server PKI Operations Guide (EN)

Дополнительная информация о групповой политике:

  • Раздел Групповая политика на веб-узле Microsoft
    Group Policy (EN)

Наверх страницы




Обсуждение статьи на форуме

Ссылка: http://www.oszone.net/4846/