Как включить sha 2 на виндовс 7

Обновлено: 30.06.2024

Проверка цифровой подписи драйвера является одним из важнейших средств обеспечения работоспособности операционной системы. Цифровая подпись гарантирует, что устанавливаемое программное обеспечение является легальным и имеет конкретного разработчика. Особенно важно, чтобы в системе было невозможно установить драйвер или системный сервис от неизвестного производителя, что может иметь негативные последствия как для самой ОС, так и для пользователя, который может пострадать, например, от хакерской атаки. Стоит заметить, что изредка встречаются случаи, когда подлинный драйвер может оказаться без соответствующей цифровой подписи. Подчеркну, что это бывает очень редко, гораздо чаще проблема кроется в том, что цифровая подпись имеется, но возникли проблемы в процессе ее проверки. Обычно, с этим явлением сталкиваются пользователи Windows 7, при чем, как правило, - при установке современных драйверов от производителей оборудования, которые просто не могут выпустить драйвер без цифровой подписи. И подобные случаи практически не наблюдаются по отношению к операционным системам Windows 8.x и Windows 10, что наводит на мысль об определенных недостатках именно ОС Windows 7.

Вплоть до 2017 года SHA-1 был самым популярным алгоритмом, используемым для цифровых подписей, не смотря на то, что он устарел и по мере роста производительности компьютерной техники вполне допускал возможность взлома хэша за разумное время, что и продемонстрировано здесь. Другими словами – использование алгоритма SHA-1 для цифровых подписей стало невозможным, и индустрия открытых ключей (PKI) довольно поспешно перешла на использование SHA-2. Поддержка этого алгоритма сейчас реализована практически всеми сервисами, устройствами, операционными системами и т.п. Операционные системы Windows 8x / 10 имели такую поддержку изначально, а вот Windows 7 получает ее только после установки обновления kb4474419 , выпущенного Microsoft в конце сентября 2019года. Другими словами, до установки kb4474419 , драйвер, имеющий цифровую подпись на базе SHA-2, в среде Windows 7, а также Windows Server 2008, 2008R2 являлся драйвером ”не имеющим цифровой подписи” и попытка его установки завершается кодом ошибки 52 . В качестве решения проблемы, подавляющее большинство пользователей использует не совсем оптимальный прием, основанный на отключении проверки цифровой подписи. На первый взгляд кажется, что такое решение вполне приемлемо, однако не учитывается тот факт, что алгоритм SHA-2 используется не только для обработки цифровых подписей файлов, но и во многих приложениях, где проверяется, например достоверность удаленного сервера, файла произвольного формата и т.п. Решение проблемы с установкой драйвера без проверки цифровой подписи может обернуться другими, далеко не очевидными, проблемами в работе прикладного программного обеспечения и проявиться это может спустя какое-то, возможно даже продолжительное время. Поэтому, прием, основанный на отключении проверки цифровой подписи должен рассматриваться как крайний случай, когда требуется установка реально надежного драйвера из проверенного источника, в самом деле, не имеющего цифровой подписи и вы убеждены, что в системе присутствует поддержка алгоритма SHA-2.

Как проверить наличие конкретных обновлений

Проверить наличие конкретных обновлений можно с помощью Панель управления - Программы и компоненты - Установленные обновления . А также по журналу обновлений в Центре обновления Windows или с помощью утилиты командной строки dism.exe :

dism /Online /Get-Packages

Или с выводом результатов в текстовый файл, например D:\Get-Packages.txt:

dism /Online /Get-Packages > D:\Get-Packages.txt

В текстовом файле Get-Packages.txt каждому установленному обновлению соответствует своя запись:

Удостоверение пакета : Package for KB4474419

6.1.3.2
Состояние : Установлен
Тип выпуска : Security Update
Время установки : 16.03.2021 1:45

В случае, когда обновление отсутствует, нужно установить его с использованием Центра обновления. В тех случаях, когда обновление невозможно установить, например, при использовании современных процессоров, которые якобы не поддерживаются ОС Windows 7, можно воспользоваться той же утилитой dism.exe :

Самым простым способом установки обновлений для Windows 7, в том числе и на неподдерживаемом оборудовании – воспользоваться замечательным ресурсом simplix.info. В разделе UpdatePack7R2 для обновления Windows 7 SP1 и Server 2008 R2 SP1 размещается постоянно обновляемый инструментарий для установки обновлений в рабочую систему или дистрибутив Windows 7 и Server 2008 R2, любого языка и архитектуры. Набор включает обновления для Internet Explorer 11, все критические, рекомендуемые и обновления безопасности.

Обновление Windows 7 с помощью UpdatePack7R2

В случае обнаружения проблем с установкой обновлений, автоматически выполняется дополнительная утилита WinRepair, устраняющая обнаруженные проблемы.

Как проверить наличие цифровой подписи у файла.

В операционных системах семейства Windows имеются стандартное средство проверки цифровых подписей системных файлов - утилита sigverif.exe . Используется для поиска системных файлов без цифровой подписи. Запустить ее можно через диалог Выполнить (комбинацию клавиш Win+R) с правами Администратора системы.

Утилита контроля цифровых подписей системных файлов sigverif.exe

После нажатия на кнопку Начать начнется проверка цифровых подписей системных файлов. Результаты проверки отображаются в окне программы:

Результат проверки цифровых подписей системных файлов sigverif.exe

Более детальную информацию можно получить из файла журнала программы Sigverif.txt , который можно просмотреть в режиме Дополнительно

Результат проверки цифровых подписей системных файлов в журнале sigverif.txt

В данном конкретном случае, утилита обнаружила один неподписанный файл драйвера C:\Windows\system32\ neo_0014.sys . Насколько это соответствует действительности, можно проверить с помощью другой системной утилиты verifier.exe , предназначенной для проверки работоспособности драйверов в Windows 7 / 8 10. При запуске без параметров, утилита отображает окно Диспетчера проверки драйверов , где необходимо выбрать проверяемые драйверы. По умолчанию, выбираются драйверы без цифровой подписи. После нажатия кнопки Далее должен отобразиться их список. Но, в данном случае, таковых не обнаружено:

Утилита verifier.exe не обнаруживает драйверов без цифровой подписи

При чем, если выбрать файл вручную, утилита verifier.exe определяет драйвер neo_0014.sys как имеющий цифровую подпись.

В качестве дополнительного средства контроля цифровых подписей можно воспользоваться утилитой от Microfoft Sysinternals SigCheck. Она имеет небольшой размер и не требует установки в системе. Просто разархивируйте загруженный по ссылке выше, файл в какой-либо каталог, лучше, присутствующий в путях поиска исполняемых файлов, определенных переменной окружения PATH и введите команду:

Отобразится информация о цифровой подписи файла:

C:\Windows\System32\drivers\neo_0014.sys:
Verified: Signed
Signing date: 10:34 05.02.2018
Publisher: SoftEther Corporation
Company: SoftEther Corporation
Description: SoftEther VPN
Product: SoftEther VPN
Prod version: 4, 25, 0, 9658
File version: 4, 25, 0, 9658
MachineType: 64-bit

В итоге, утилита sigchek определила, что файл драйвера neo_0014.sys имеет цифровую подпись SoftEther Corporation .

Таким образом, бывают случаи, когда подписанный цифровой подписью файл, может быть признан не имеющим подписи. Произойти это может по нескольким причинам, в том числе и внешним по отношению к текущей ОС Windows (например, временная невозможность выстроить цепочку сертификатов удостоверяющих центров по техническим причинам). Однако, как упоминалось выше, в случаях с Windows 7 нужно обратить особое внимание на работоспособность средств поддержки алгоритма SHA-2, обеспечиваемой обновлениями Microsoft. Основным из них является kb4474419, однако не исключено, что со временем к нему добавится еще какое-нибудь новое. В любом случае, ситуация с отсутствием цифровой подписи драйвера требует детальной разборки, а не бездумного отключения проверки цифровой подписи.

Как отключить проверку цифровой подписи драйвера.

На просторах Интернета можно найти описание нескольких способов отключения проверки цифровой подписи драйверов, как однократно, так и навсегда с использованием меню загрузчика и групповых политик. Однако надежным способом, обеспечивающим работоспособность драйвера без подписи является отключение проверки с помощью редактирования данных конфигурации загрузки (BCD – Boot Configuration Data) стандартной утилитой bcdedit.exe . Напомню, что порядок загрузки драйверов определяется параметром Start , который хранится в реестре для каждого существующего в системе драйвера, и может принимать значения:

0 (обозначается как boot загрузка). Загрузка драйвера выполняется в самом начале загрузки перед инициализацией ядра. Например, драйвер дискового контроллера.

1 (обозначается как System, системный) Загрузка драйвера осуществляется подсистемой ввода/вывода во время инициализации ядра. В качестве примера можно взять драйвер последовательного порта.

2 ( обозначается как Auto, запускаемый автоматически). Драйвер или служба запускаются автоматически, независимо от действий пользователя и его регистрации в системе.

3 (обозначается как Load of Demand, загружаемый вручную). Драйвер или служба запускаются по мере возникновения потребности в их функционировании. Например, как Драйвер запоминающих устройств для USB.

4 ( обозначается как Disabled, отключено). Драйвер или служба отключены. Вполне естественно, что для драйвера, имеющего параметр Start в реестре, равный 0 или 1, никакие групповые политики еще не могут быть применены, поскольку средства их применения еще не существуют в системе. Поэтому отключение проверки цифровой подписи драйвера на постоянной основе выполняются редактором данных конфигурации загрузки, командой:

bcdedit.exe -set TESTSIGNING ON - отключить проверку цифровой подписи. Естественно, команда должна выполняться от имени Администратора. Действительна не только для Windows 7, но и Windows 8 / 10.

Для применения настройки потребуется перезагрузка Windows. После перезагрузки, в правой нижней части экрана будет отображаться предупреждение о том, что Windows работает в тестовом режиме. Проверка цифровых подписей драйверов выполняться не будет.

В тех случаях, когда приведенная выше команда не срабатывает, рекомендуется перед ее выполнением отключить параметры контроля целостности конфигурации:

bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECK

Хотя, из личного опыта – команда не оказывает никакого влияния на поведение загрузчика Windows.

Важные изменения работы игр на Windows 7

В мае 2021 года запуск игры станет невозможен без поддержки цифровой подписи на основе хеш-алгоритма SHA-2. Если у вашей операционной системы не установлены все обновления в "Центре обновления Windows", то можно подключить поддержку SHA-2 вручную или обновить свою Windows 7 до Windows 8 или более поздней версии. Чтобы активировать поддержку SHA-2 следуйте инструкции.

Ваша версия Windows 7 без установленного Service Pack 1:

1. Перейдите по ссылке, чтобы скачать Service Pack 1.

2. Нажмите на кнопку "Запустить", чтобы начать скачивание этого файла. Если у вас браузер отличный от Internet Explorer, то перейдите сразу к следующему пункту.



3. После того как вы скачаете Service Pack 1, появится следующее диалоговое окно, где необходимо нажать кнопку "Запустить".


4. Ознакомьтесь с подробностями перед установкой Service Pack 1 и нажмите "Далее". Обратите внимание, что компьютер может несколько раз перезагрузиться во время установки.


5. Сохраните все проекты и закройте программы, чтобы ничего не потерять, и установка прошла быстрее. Также рекомендуем нажать галочку "Автоматически перезагрузить компьютер". Установка Service Pack 1 начнется только после того, как вы нажмете на кнопку "Установить".




6. Когда установка будет завершена и ваш компьютер автоматически перезагрузится, Service Pack 1 будет полностью установлен. В некоторых случаях поддержка хеш-алгоритма цифровой подписи SHA-1 может автоматически не обновиться до SHA-2 — тогда при следующем запуске игры у вас появится инструкция, как его обновить вручную.


Ваша версия Windows 7 с установленным Service Pack 1:

1. Перейдите по ссылке, чтобы скачать обновление хеш-алгоритма цифровой подписи с SHA-1 до SHA-2.

Примечание: Если у вас не открывается ссылка, то попробуйте кликнуть по ней правой кнопкой мыши и выбрать вариант "Открыть в новой вкладке".

2. Чтобы начать скачивание этого файла, нажмите на кнопку "Открыть". Если у вас браузер отличный от Internet Explorer, то перейдите сразу к следующему пункту.



3. После того как вы запустите установщик, выдайте доступ на открытие web-контента кнопкой "Разрешить".


4. Следующим шагом будет установка обновления. Выберите вариант "Да" и ожидайте полной установки.



5. После завершения обновления и перезагрузки компьютера хеш-алгоритм SHA-2 станет активным — теперь вы можете продолжить играть.

Ранее все обновления доставлялись с помощью SHA-1 и SHA-2. Алгоритм хеширования SHA-1 имеет ряд известных недостатков, и Microsoft планирует отказаться от SHA-1 и полностью перейти на улучшенный алгоритм SHA-2 в сентябре 2019 года.

Хотя данное изменение не представляет какой-либо проблемы для Windows 8.1, Windows 10 и соответствующих им серверных версий, этого нельзя сказать о Windows 7 и Windows Server 2008. Причина проста: обновления SHA-2 не поддерживаются в данных операционных системах.

Любое обновление, которое поставляется исключительно в SHA-2 версии и подписано только с помощью SHA-2, невозможно верифицировать на устройствах Windows 7 или Windows Server 2008. Это означает, что такие обновления не будут устанавливаться на устройствах под управлением данных версий Windows, пока не будет установлен патч для обновлений SHA-2.

Microsoft опубликовала график событий, связанных с переходом на SHA-2, на странице поддержки:

Целевая дата Событие Применяется для
12 марта, 2019 В качестве обновлений безопасности выпущены патчи KB4474419 и KB4490628, которые добавляют поддержку SHA-2. Windows 7 SP1,
Windows Server 2008 R2 SP1
12 марта, 2019 Для WSUS 3.0 с пакетом обновления SP2 выпущен патч KB4484071, который добавляет поддержку доставки обновлений, подписанных с помощью SHA-2. Для тех пользователей, которые используют WSUS 3.0 SP2, этот патч должен быть установлен не позднее 18 июня 2019 года. WSUS 3.0 SP2
9 апреля, 2019 В качестве обновления безопасности выпущены патч KB4493730, в котором добавлена поддержка SHA-2 для служебного стека (SSU). Windows Server 2008 SP2
18 июня, 2019 Цифровые подписи обновлений Windows 10 будут изменены с двойной подписи (SHA-1 / SHA-2) только на SHA-2. Никаких действий со стороны клиента не потребуется. Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019
18 июня, 2019 Обязательно: для клиентов, использующих WSUS 3.0 SP2, патч поддержки SHA-2 KB4484071 должен быть установлен к этой дате. WSUS 3.0 SP2
16 июля, 2019 Обязательно: Для обновления устаревших версий Windows потребуется установить патчи поддержки SHA-2. Установка патчей поддержки, выпущеных в марте и апреле, потребуется для продолжения получения обновлений для этих версий Windows. Windows 7 SP1,
Windows Server 2008 R2 SP1,
Windows Server 2008 SP2
16 июля, 2019 Цифровые подписи обновлений Windows 10 изменены с двойной подписи (SHA-1 / SHA-2) только на SHA-2. Никаких действий со стороны клиента не требуется. Windows 10 1507,
Windows 10 1607,
Windows 10 1703
13 августа, 2019 Содержимое обновлений для старых версий Windows подписано SHA-2 (встроенные подписанные двоичные файлы и каталоги). Никаких действий со стороны клиента не требуется. Windows 7 SP1,
Windows Server 2008 R2 SP1
10 сентября, 2019 Устаревшие цифровые подписи обновлений Windows будут изменены с двойной подписи (SHA-1 / SHA-2) только на SHA-2. Никаких действий со стороны клиента не потребуется. Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2

Обновления, выпущенные до 12 июня 2019 года, по-прежнему будут доступны в виде SHA-1 версий, в противном случае произошла бы полная блокировка получения каких-либо обновлений.

Устройства, на которых не установлен патч SHA-2, перестанут получать обновления, начиная с 16 июля 2019 года до тех пор, пока патч не будет установлен в системе.

В целях обеспечения безопасности, обновления операционной системы Windows в настоящее время имеют двойную подпись с использованием алгоритмов хеширования SHA-1 и SHA-2. Проверка подлинности позволяет убедиться, что обновления поставляются непосредственно от корпорации Майкрософт и не были подменены во время доставки. Из-за ряда недостатков алгоритма SHA-1 и необходимости соответствия современным отраслевым стандартам Microsoft станет подписывать обновления Windows, исключительно с помощью более безопасного алгоритма SHA-2.

Microsoft имеет объявил Расширенные обновления безопасности для Windows 7 для тех, кто готов платить за компьютерную подписку. Поддержка Windows 7 заканчивается 14 января 2020 года, поэтому важно проверить, может ли ваша Windows 7 получать расширенные обновления безопасности (ESU). В этом посте мы расскажем, как вы можете проверить соответствие вашего Windows 7 система. Мы также включили детали для Windows Server 2008 R2 с пакетом обновления 1 (SP1).

Windows 7 может получать расширенные обновления безопасности

Убедитесь, что Windows 7 может получать расширенные обновления безопасности

Вот список минимальных требований и процессов установки для проверки EUS. Если у вас есть виртуальная машина Windows 7, размещенная в Azure, вы будете получать бесплатные обновления ESU.

  1. Минимальные требования к ОС
  2. SHA-2, обновление стека обслуживания и ежемесячные накопительные пакеты
  3. Активация с помощью ключа ESU
  4. Установка обновлений KB для окончательной проверки.

Если обновление KB завершилось неудачно, следуйте методам устранения неполадок.

1]Минимальные требования к ОС

Первым критерием для получения ESU является то, что вы должны обновить свою копию до Пакет обновления 1 (SP1) для Windows 7 и Server 2008 R2 SP1 или Windows Server 2008.

2]SHA-2, обновление стека обслуживания и ежемесячные накопительные пакеты

Далее вам нужно установить обновление поддержки подписи кода SHA-2, обновление стека обслуживания и ежемесячные накопительные пакеты. Вот подробности, предлагаемые Microsoft:

    Установите следующее обновление поддержки подписи кода SHA-2 и обновление стека обслуживания (SSU) или более позднее обновление SSU:
      Обновление поддержки подписи кода SHA-2 для Windows Server 2008 R2, Windows 7 и Windows Server 2008: 23 сентября 2019 г. Обновление стека обслуживания для Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1): 12 марта 2019 г.
    Установите следующие обновления стека обслуживания (SSU) и ежемесячный накопительный пакет:
      Обновление стека обслуживания для Windows 7 с пакетом обновления 1 (SP1) и Server 2008 R2 с пакетом обновления 1 (SP1): 10 сентября 2019 г. KB4519976, 8 октября 2019 г. (ежемесячный накопительный пакет)

3]Активация с помощью ключа ESU

Получив их, вы можете установить и активировать Windows с помощью ключа ESU, который вы получили от поставщика облачных решений или в Центре администрирования Microsoft 365. Это ключи MAK, и они понадобятся вам для получения обновлений безопасности в течение всего года.

Выполните эти три шага, чтобы активировать и проверить статус вашего ключа ESU. Хотя Microsoft предлагает использовать System Center Configuration Manager для отправки сценариев на корпоративные устройства. Все это следует выполнять в командной строке с повышенными привилегиями. Мы будем использовать SLMGR для активации и проверки.

Найдите идентификатор активации ESU

Активируйте ключ продукта ESU

  • Тип slmgr / dlv, и выберите Войти.
  • Обратите внимание на ESU Идентификатор активации.
  • Тип slmgr / ato и нажмите Войти.

Проверить статус

Вам придется повторять этот процесс каждый год. Вы будете получать новый ключ MAK каждый год., который необходимо активировать, чтобы продолжать получать обновления ESU.

Поскольку ваша копия Windows уже активирована, вы можете задаться вопросом, перезаписывает ли ее вторая клавиша. Это не относится к делу. Ключ ESU MAK будет установлен рядом с другим ключом активации. Это не повлияет на другой ключ активации.

4]Установка обновлений KB для окончательной проверки

После успешной активации вам необходимо установить KB4528069 для Windows 7 SP1 и Windows Server 20008 R2 SP1. Если вы делаете это в Windows Server 2008, установите KB4528069. Вы можете получить это обновление из каталога Центра обновления Майкрософт или из служб Windows Server Update Services (WSUS).

Это обновление, не связанное с безопасностью, недоступно в Центре обновления Windows или Центре обновления Майкрософт. Это поможет вам проверить, хотите ли вы получать расширенные обновления безопасности (ESU).

Если компьютер не может подключиться к сети, вам нужно использовать другой метод:

Вам нужно будет загрузить и установить Volume Activation Management Tool, обновить файл конфигурации, настроить параметры клиентского брандмауэра для VAMT, а затем добавить ключ продукта ESU в VAMT.

Обновления ESU всегда будут искать ключи MAK, и если они отсутствуют, вы не получите обновления. Поскольку ключи MAK являются одноразовыми ключами, убедитесь, что у вас есть четкое обсуждение того, как вы будете управлять, если потребуется переустановка машины.

Устранение неполадок с расширенными обновлениями безопасности (ESU)

  1. Убедитесь, что выполнены все предпосылки.
  2. Перезагрузите, если есть какие-либо ожидающие обновления, которые просят вас сделать это.
  3. Убедитесь, что вы устанавливаете это обновление на ESU. подходящее издание и поддерживаемая архитектура.
  4. Если у вас возникли проблемы с ключами, попросите партнера по облачным технологиям проверить, действительны ли предоставленные вам ключи.
  5. Вы всегда можете позвонить в службу поддержки клиентов Microsoft по номеру 1-800-Microsoft (642-7676).

Microsoft также поддерживает версии Windows 7 и Windows 2008 Embedded, POS Ready, Enterprise, Standard, Datacenter, Web, Workgroup.

Вам следует подумать об обновлении Windows 7 до Windows 10, так как в противном случае будет сложно защитить Widows 7 после окончания поддержки. Использование Windows 7 после окончания срока службы сопряжено с определенными рисками!

Читайте также: