Bagikan melalui

Pemecahan Masalah Penginstalan Penandatanganan Driver

Menginstal driver yang ditandatangani untuk rilis sama seperti dijelaskan dalam Menginstal, Menghapus Instalasi, dan Memuat Paket Driver Test-Signed di Penandatanganan Pengujian, kecuali ada dua langkah tambahan yang diperlukan saat menginstal menggunakan salah satu metode yang dijelaskan di sana.

Jika penandatangan paket driver belum diatur dalam sistem agar dapat dipercaya, Anda mungkin melihat kotak dialog Keamanan Windows yang ditunjukkan di bawah ini.

cuplikan layar memperlihatkan dialog keamanan windows.

Memilih kotak centang tidak akan menampilkan kotak dialog ini lagi pada komputer jika pengandar diinstal lagi atau jika pengandar dihapus karena alasan apa pun.

Nota Sistem memverifikasi bahwa informasi penerbit akurat berdasarkan SPC yang digunakan untuk menandatangani katalog. Jika tingkat kepercayaan penerbit tidak diketahui—seperti yang akan berlaku untuk Contoso.com—sistem menampilkan kotak dialog. Agar penginstalan dilanjutkan, pengguna harus memilih Instal. Untuk informasi selengkapnya tentang kepercayaan dan pemasangan driver, lihat Code-Signing Praktek Terbaik.

Driver yang tidak ditandatangani akan menampilkan dialog berikut, yang memungkinkan pengguna menginstal driver yang tidak ditandatangani (ini mungkin tidak berfungsi di Windows versi x64).

cuplikan layar memperlihatkan dialog peringatan keamanan windows.

Verifikasi bahwa Driver Release-Signed Beroperasi Dengan Benar

Gunakan Manajer Perangkat untuk melihat Properti driver (dijelaskan sebelumnya untuk driver yang ditandatangani pengujian). Di bawah ini adalah cuplikan layar untuk menunjukkan apakah driver berfungsi.

cuplikan layar memperlihatkan perangkat pemanggang roti di manajer perangkat.

Memecahkan masalah Driver Release-Signed

Beberapa cara umum untuk memecahkan masalah memuat driver yang ditandatangani atau berupa tanda uji tercantum di bawah ini:

  • Gunakan Manajer Perangkat untuk memeriksa apakah driver dimuat dan ditandatangani, seperti yang dijelaskan dalam Memverifikasi bahwa Driver Test-Signed Beroperasi dengan Benar dari Penandatanganan Pengujian.
  • Buka file setupapi.dev.log yang dibuat di direktori %windir%\inf setelah penginstalan driver. Lihat bagian tentang mengatur entri registri dan mengganti nama file setupapi.dev.log sebelum menginstal driver.
  • Periksa log audit keamanan Windows dan log peristiwa Integritas Kode.

Menganalisis File Setupapi.dev.log

Seperti yang dijelaskan sebelumnya, informasi penginstalan driver apa pun akan dicatat (ditambahkan) ke file setupapi.dev.log di direktori %windir%\inf. Saat menguji penginstalan paket driver Anda, jika file diganti namanya sebelum driver diinstal, file log baru akan dihasilkan. File log baru akan lebih mudah untuk mencari log penting dari penginstalan driver baru. Namun, file log tidak boleh diganti namanya sebagai bagian dari skenario produksi. File log dapat dibuka dalam perangkat lunak pengeditan teks apa pun.

Kolom paling kiri mungkin memiliki satu tanda seru "!" atau beberapa tanda seru "!!!". Tanda seru tunggal adalah pesan peringatan, tetapi tanda seru tiga menunjukkan kegagalan.

Anda akan melihat tanda seru tunggal berikut saat menginstal rilis paket driver yang ditandatangani dengan sertifikat SPC yang disediakan vendor CA. Ini adalah peringatan bahwa file kucing belum diverifikasi.

!    sig:                Verifying file against specific (valid) catalog failed! (0x800b0109)
!    sig:                Error 0x800b0109: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
     sig:                Success: File is signed in Authenticode(tm) catalog.
     sig:                Error 0xe0000242: The publisher of an Authenticode(tm) signed catalog has not yet been established as trusted.

Jika Anda memilih tombol "Instal" pada dialog yang muncul ketika penanda tangan belum dipercaya pada mesin ini, Anda akan melihat log berikut, yang dalam banyak kasus berarti driver akan terinstal dan dimuat dengan baik. Manajer Perangkat tidak akan melaporkan kesalahan atau tanda seru kuning untuk driver.

!    sto:           Driver package signer is unknown but user trusts the signer.

Jika Anda juga melihat log kesalahan berikut dalam file log, driver mungkin tidak dimuat.

File setupapi.dev.log juga telah melaporkan kesalahan berikut:

!!!  dvi:                          Device not started: Device has problem: 0x34: CM_PROB_UNSIGNED_DRIVER.

Perhatikan bahwa 0x34 adalah Kode 52.

Untuk memecahkan masalah, tinjau file log dan cari tanda seru di samping biner driver. Jalankan perintah signtool verify pada file cat dan biner tertandatangan tertanam lainnya.

Biasanya informasi file log cukup untuk menyelesaikan masalah. Jika pemeriksaan di atas gagal menemukan akar penyebabnya, periksa log audit keamanan Windows dan log peristiwa Integritas kode, yang dijelaskan di bagian berikutnya.

Menggunakan Log Audit Keamanan Windows

Jika driver gagal dimuat karena tidak memiliki tanda tangan yang valid, maka akan dicatat sebagai peristiwa kegagalan audit. Peristiwa kegagalan audit dicatat dalam log keamanan Windows, menunjukkan bahwa Integritas Kode tidak dapat memverifikasi hash gambar file driver. Entri log menyertakan nama jalur lengkap file driver. Peristiwa audit log keamanan dihasilkan hanya jika kebijakan audit keamanan lokal memungkinkan pengelogan peristiwa kegagalan sistem.

Nota Log audit keamanan harus diaktifkan secara eksplisit. Untuk informasi selengkapnya, lihat Lampiran 3: Mengaktifkan Pengelogan Peristiwa Integritas Kode dan Audit Sistem.

Untuk memeriksa log keamanan:

  1. Buka jendela perintah yang ditingkatkan.
  2. Untuk memulai Windows Event Viewer, jalankan Eventvwr.exe. Penampil Peristiwa juga dapat dimulai dari aplikasi Manajemen Komputer Panel Kontrol.
  3. Buka log audit keamanan Windows.
  4. Periksa log untuk peristiwa integritas sistem dengan ID peristiwa 5038.
  5. Pilih dan tahan (atau klik kanan) entri log dan pilih Properti Peristiwa untuk menampilkan kotak dialog Properti Peristiwa, yang menyediakan deskripsi terperinci tentang peristiwa tersebut.

Tangkapan layar berikut memperlihatkan kotak dialog Event Properties untuk peristiwa log audit keamanan yang disebabkan oleh sebuah file Toaster.sys yang tidak ditandatangani.

cuplikan layar memperlihatkan dialog properti peristiwa.

Menggunakan Log Peristiwa Operasional Integritas Kode

Jika driver gagal dimuat karena tidak ditandatangani atau menghasilkan kesalahan verifikasi gambar, Integritas Kode mencatat peristiwa dalam log peristiwa operasional Integritas Kode. Peristiwa operasional Integritas Kode selalu diaktifkan.

Peristiwa Integritas Kode dapat dilihat dengan Penampil Peristiwa.

Untuk memeriksa log operasional Integritas Kode

  1. Buka jendela perintah yang ditingkatkan.
  2. Untuk memulai Windows Event Viewer, jalankan Eventvwr.exe. Penampil Peristiwa juga dapat dimulai dari aplikasi Panel Kontrol Manajemen Komputer.
  3. Buka log Integritas Kode Windows.
  4. Pilih dan tahan (atau klik kanan) entri log dan pilih Properti Peristiwa untuk menampilkan kotak dialog Properti Peristiwa, yang menyediakan deskripsi terperinci tentang peristiwa tersebut.

Cuplikan layar di bawah ini memperlihatkan kotak dialog Properti Peristiwa untuk peristiwa log operasional Integritas Kode yang disebabkan oleh file Toaster.sys yang tidak ditandatangani.

cuplikan layar yang memperlihatkan penampil peristiwa.

Menggunakan Peristiwa Informatif pada Log Terperinci Integritas Kode

Tampilan verbose dari log infomasi Integritas Kode melacak peristiwa untuk semua pemeriksaan verifikasi citra dalam mode kernel. Peristiwa ini menunjukkan verifikasi gambar yang berhasil dari semua driver yang dimuat pada sistem.

Untuk Integritas Kode, aktifkan tampilan verbose:

  1. Mulai Penampil Peristiwa, seperti pada contoh sebelumnya.
  2. Selet simpul Integritas Kode untuk memberinya fokus.
  3. Pilih dan tahan (atau klik kanan) Integritas Kode dan pilih item Tampilan dari menu pintasan.
  4. Pilih Tampilkan Log Analitik dan Debug. Ini membuat sub pohon dengan dua simpul tambahan: Operasional dan Verbose.
  5. Pilih dan tahan (atau klik kanan) simpul Verbose dan pilih Properti dari menu pintasan.
  6. Pada tab Umum, pilih Aktifkan Pencatatan untuk mengaktifkan mode pencatatan terperinci.
  7. Reboot sistem untuk memuat ulang semua biner mode kernel.
  8. Setelah reboot, buka snap-in Manajemen Komputer MMC dan lihat log peristiwa verbose Integritas Kode.

Beberapa masalah penandatanganan driver tambahan yang diketahui dijelaskan dalam Lampiran 4: Masalah Penandatanganan Driver.