Condividi tramite

Risoluzione dei problemi relativi all'installazione della firma del driver

L'installazione di un driver con firma di versione è uguale a quella descritta in Installazione, Disinstallazione e caricamento del pacchetto driver Test-Signed nella firma di test, ad eccezione di due passaggi aggiuntivi necessari per l'installazione di uno dei metodi descritti.

Se l'iscrizione del pacchetto driver non è già stata configurata nel sistema da considerare attendibile, potrebbe essere visualizzata la finestra di dialogo Sicurezza di Windows seguente.

screenshot che mostra la finestra di dialogo di sicurezza di Windows.

La selezione della casella di controllo non visualizzerà nuovamente questa finestra di dialogo nel computer se il driver viene installato di nuovo o se il driver viene rimosso per qualsiasi motivo.

Nota Il sistema verifica che le informazioni sull'editore siano accurate in base al SPC usato per firmare il catalogo. Se il livello di attendibilità del server di pubblicazione è sconosciuto, come sarà true per Contoso.com, il sistema visualizza la finestra di dialogo. Per continuare l'installazione, l'utente deve selezionare Installa. Per altre informazioni sull'installazione di trust e driver, vedere Procedure consigliate per la firma del codice.

Un driver senza segno mostrerà la finestra di dialogo seguente, che consente a un utente di installare un driver senza segno (questo potrebbe non funzionare nella versione x64 di Windows).

schermata che mostra la finestra di dialogo di avviso di sicurezza di Windows.

Verificare che il driver Release-Signed sia operativo correttamente

Usare Gestione dispositivi per visualizzare le proprietà del driver (descritte in precedenza per il driver con firma di test). Di seguito è riportata la schermata per mostrare se il driver funziona.

schermata che mostra il dispositivo tostapane nella gestione dispositivi.

Risolvere i problemi relativi ai driver Release-Signed

Di seguito sono elencati diversi modi comuni per risolvere i problemi relativi al caricamento dei driver firmati o con segno di test:

  • Usare Gestione dispositivi per verificare se il driver viene caricato e firmato, come descritto in Verificare che il driver Test-Signed funzioni correttamente per la firma del test.
  • Aprire il file setupapi.dev.log creato nella directory %windir%\inf dopo l'installazione del driver. Fare riferimento alla sezione relativa all'impostazione della voce del Registro di sistema e alla ridenominazione del file setupapi.dev.log prima di installare il driver.
  • Controllare il log eventi di controllo della sicurezza di Windows e i log eventi di integrità del codice.

Analisi del file Setupapi.dev.log

Come illustrato in precedenza, tutte le informazioni di installazione del driver verranno registrate (accodate) al file setupapi.dev.log nella directory %windir%\inf. Durante il test dell'installazione del pacchetto driver, se il file viene rinominato prima dell'installazione di un driver, verrà generato un nuovo file di log. Un nuovo file di log sarà più semplice cercare i log importanti da una nuova installazione del driver. Tuttavia, il file di log non deve essere rinominato come parte di uno scenario di produzione. Il file di log può essere aperto in qualsiasi software di modifica del testo.

La colonna più a sinistra può avere un singolo segno esclamativo "!" o più punti esclamativi "!!!". Il singolo segno esclamativo è un messaggio di avviso, ma il segno esclamativo triplo indica un errore.

Verrà visualizzato il punto esclamativo seguente quando si installa una versione del pacchetto driver firmata con un fornitore della CA fornito dal certificato SPC. Questi sono avvisi che il file di gatto non è stato ancora verificato.

!    sig:                Verifying file against specific (valid) catalog failed! (0x800b0109)
!    sig:                Error 0x800b0109: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
     sig:                Success: File is signed in Authenticode(tm) catalog.
     sig:                Error 0xe0000242: The publisher of an Authenticode(tm) signed catalog has not yet been established as trusted.

Se si seleziona il pulsante "Installa" nella finestra di dialogo visualizzato quando il firmatario non è ancora attendibile in questo computer, verrà visualizzato il log seguente, che nella maggior parte dei casi significa che il driver installerà e caricherà correttamente. Il Gestione dispositivi non segnala errori o un segno esclamativo giallo per il driver.

!    sto:           Driver package signer is unknown but user trusts the signer.

Se viene visualizzato anche il log degli errori seguente nel file di log, il driver potrebbe non essere caricato.

Il file setupapi.dev.log ha anche segnalato l'errore seguente:

!!!  dvi:                          Device not started: Device has problem: 0x34: CM_PROB_UNSIGNED_DRIVER.

Si noti che 0x34 è Codice 52.

Per risolvere i problemi, esaminare il file di log e cercare i segni esclamativi accanto a un file binario del driver. Eseguire il signtool verify comando nel file cat e altri file binari firmati incorporati.

In genere, le informazioni sui file di log sono sufficienti per risolvere il problema. Se i controlli precedenti non riescono a trovare la causa radice, controllare i log eventi di controllo della sicurezza di Windows e integrità del codice, descritti nella sezione successiva.

Uso del log di controllo di Sicurezza di Windows

Se il driver non è riuscito a caricare perché non ha avuto una firma valida, verrà registrato come evento di errore di controllo. Gli eventi di errore di controllo vengono registrati nel log di sicurezza di Windows, che indica che l'integrità del codice non è riuscita a verificare l'hash dell'immagine del file driver. Le voci di log includono il nome completo del file del driver. Gli eventi di controllo del log di sicurezza vengono generati solo se i criteri di controllo della sicurezza locali consentono la registrazione degli eventi di errore di sistema.

Nota Il log di controllo della sicurezza deve essere abilitato in modo esplicito. Per altre informazioni, vedere Appendice 3: Abilitare la registrazione eventi di integrità del codice e il controllo del sistema.

Per esaminare il log di sicurezza:

  1. Aprire una finestra di comando con privilegi elevati.
  2. Per avviare Windows Visualizzatore eventi, eseguire Eventvwr.exe. Visualizzatore eventi può essere avviato anche dall'applicazione Gestione computer Pannello di controllo.
  3. Aprire il log di controllo della sicurezza di Windows.
  4. Controllare il log per gli eventi di integrità del sistema con id evento 5038.
  5. Selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) la voce del log e selezionare Proprietà evento per visualizzare la finestra di dialogo Proprietà evento, che fornisce una descrizione dettagliata dell'evento.

La schermata seguente mostra la finestra di dialogo Proprietà eventi per un evento del log di controllo della sicurezza causato da un file di Toaster.sys non firmato.

screenshot che mostra la finestra di dialogo delle proprietà dell'evento.

Uso del registro eventi operativi dell'integrità del codice

Se il driver non è riuscito a caricare perché non è stato firmato o generato un errore di verifica dell'immagine, l'integrità del codice registra gli eventi nel registro eventi operativi integrità del codice. Gli eventi operativi di integrità del codice sono sempre abilitati.

Gli eventi di integrità del codice possono essere visualizzati con Visualizzatore eventi.

Per esaminare il log operativo di integrità del codice

  1. Aprire una finestra di comando con privilegi elevati.
  2. Per avviare Windows Visualizzatore eventi, eseguire Eventvwr.exe. Visualizzatore eventi può essere avviato anche dall'applicazione Gestione computer Pannello di controllo.
  3. Aprire il log di integrità del codice di Windows.
  4. Selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) una voce di log e selezionare Proprietà evento per visualizzare la finestra di dialogo Proprietà evento, che fornisce una descrizione dettagliata dell'evento.

La schermata seguente mostra la finestra di dialogo Proprietà eventi per un evento di log operativo integrità del codice causato da un file di Toaster.sys non firmato.

schermata che mostra il visualizzatore eventi.

Uso degli eventi informativi nel log di integrità del codice dettagliato

La visualizzazione dettagliata del log dell'integrità del codice tiene traccia degli eventi per tutti i controlli di verifica delle immagini in modalità kernel. Questi eventi mostrano la verifica dell'immagine riuscita di tutti i driver caricati nel sistema.

Per abilitare la visualizzazione dettagliata dell'integrità del codice:

  1. Avviare Visualizzatore eventi, come nell'esempio precedente.
  2. Selet il nodo Integrità del codice per assegnare lo stato attivo.
  3. Selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) Integrità del codice e selezionare la voce Visualizza dal menu di scelta rapida.
  4. Selezionare Mostra log analitici e di debug. In questo modo viene creato un sotto albero con due nodi aggiuntivi: operativo e dettagliato.
  5. Selezionare e tenere premuto (o fare clic con il pulsante destro del mouse) sul nodo Verbose e selezionare le proprietà dal menu di scelta rapida.
  6. Nella scheda Generale selezionare Abilita registrazione per abilitare la modalità di registrazione dettagliata.
  7. Riavviare il sistema per ricaricare tutti i file binari in modalità kernel.
  8. Dopo il riavvio, aprire lo snap-in Gestione computer MMC e visualizzare il log eventi dettagliato dell'integrità del codice.

Alcuni problemi di firma dei driver noti sono descritti in Appendice 4: Problemi di firma del driver.