নিরাপদ বুট সক্ষম সহ উইন্ডোজ 10 সংস্করণ 1607 এ আমি ক্রস-স্বাক্ষরিত কার্নেল ড্রাইভারগুলিকে কীভাবে অনুমতি দেব?


13

উইন্ডোজ 10 সংস্করণ 1607 (ওরফে বার্ষিকী আপডেট) এখন কড়া কর্নেল ড্রাইভার শংসাপত্র প্রয়োগ করছে যা ইতিমধ্যে উইন্ডোজ 10 এর জন্য প্রয়োজনীয়তা হিসাবে 2015 ঘোষণা করা হয়েছিল নতুন নিয়মটি হ'ল সমস্ত উইন্ডোজ 10 ড্রাইভার মাইক্রোসফ্ট দ্বারা ডিজিটালি স্বাক্ষরিত হতে হবে, আর কোনও ক্রস সাইন ইন করতে হবে না! কার্নেল ড্রাইভার বিকাশকারীদের এখন অবশ্যই একটি বর্ধিত বৈধকরণ (ইভি) কোড সাইনিং শংসাপত্র ব্যবহার করতে হবে এবং তাদের ড্রাইভারগুলি উইন্ডোজ হার্ডওয়্যার ডেভেলপার সেন্টার ড্যাশবোর্ড পোর্টালে জমা দিতে হবে যেখানে কয়েকটি পরীক্ষা পাসের পরে ড্রাইভাররা মাইক্রোসফ্ট দ্বারা স্বাক্ষরিত হবে।

তবে সেই নিয়মের ব্যতিক্রমও রয়েছে। নিম্নলিখিতগুলির মধ্যে যদি সত্য হয় তবে ক্রস-স্বাক্ষরিত কার্নেল ড্রাইভারগুলি উইন্ডোজ 10 সংস্করণ 1607 দ্বারা এখনও স্বীকার করা হয়েছে :

  • ড্রাইভার 29 জুলাই 2015 এর আগে জারি করা একটি শংসাপত্রের সাথে স্বাক্ষরিত হয়েছে
  • ড্রাইভারটি বুট আপ ড্রাইভার is
  • সুরক্ষিত বুট বন্ধ আছে
  • উইন্ডোজ 10 সংস্করণ 1607 সিস্টেমটি আপগ্রেড করা হয়েছিল এবং সরাসরি ইনস্টল করা হয়নি
  • একটি গোপন রেজিস্ট্রি কী সেট করা হয়েছে যা ক্রস-স্বাক্ষরিত ড্রাইভারগুলিকে এমনকি সুরক্ষিত বুট সক্ষম হওয়া সিস্টেমগুলিতে লোড করতে দেয়

আমার সংস্থায় আমাদের সমস্যা আছে যে বেশ কয়েকটি ড্রাইভার এখন এমন সিস্টেমে অক্ষম হয়ে আছে যেগুলি একটি পরিষ্কার উইন্ডোজ 10 সংস্করণ 1607 ইনস্টলেশন পেয়েছে এবং এমনকি কিছু নির্দিষ্ট ইন্টেল ড্রাইভারও ক্ষতিগ্রস্থ হয়েছে। অতিরিক্ত সুরক্ষিত কেভিএম ভার্চুয়াল মেশিনগুলি সুরক্ষিত বুট সক্ষম হওয়া টিয়ানিকোর ইউইএফআই বিআইওএস ব্যবহার করে এখন ডিজিটাল স্বাক্ষরের ত্রুটির কারণে ভার্চিও নেটওয়ার্ক এবং বেলুন ড্রাইভার লোড করবে না।

এবং আমি নিশ্চিত করতে পারি যে ড্রাইভারগুলি সুরক্ষিত বুট অক্ষম হওয়া সিস্টেমগুলিতে এবং উইন্ডোজ 10 সিস্টেমে যেগুলি সুরক্ষিত বুট সক্ষম হওয়া সত্ত্বেও সংস্করণ 1607-এ উন্নত (স্থান-স্থানে) উন্নত হয়েছিল সেগুলিতে দুর্দান্ত কাজ করে।

এখন আমি ভাবছি যে গোপন রেজিস্ট্রিটির নাম এবং মানটি কী তা মাইক্রোসফ্ট নীচের ভিডিওটিতে 00 এইচ 11 মি 00 এস এ ঘোষণা করেছিল :

চ্যানেল 9 - প্লাগফেস্ট 28 - উইন্ডোজ-ক্লায়েন্ট এবং সার্ভারে ড্রাইভার-শংসাপত্র

... এবং অবশেষে আমরা আসলে একটি রেজিস্ট্রি কী পেয়ে যাচ্ছি ... এবং এই রেজিস্ট্রি কীটি ... আপনি জানেন ... কেবল পরীক্ষার উদ্দেশ্যে যা আমরা অবশ্যই চাই না ... আপনি এই রেজিস্ট্রিটি সেট করছেন আপনি চালক ইনস্টল করার সময় কী এবং ... রেজিস্ট্রি কীটি একইভাবে একই আচরণের নকল করে যেন আপনার একটি আপগ্রেড করা সিস্টেম রয়েছে ...

এই কীটি কখনই মাইক্রোসফ্ট ঘোষণা করেনি এবং ওএসআর এর এনটিডিভ তালিকায় নিম্নলিখিত বার্তার কারণে আমি বিশ্বাস করি যে এটি কখনই ঘটবে না:

আমি এটি বলতে ঘৃণা করি তবে আপনি যেহেতু জিজ্ঞাসা করেছেন: রেজিস্ট্রি কী তথ্য কেবল এনডিএর অধীনে উপলব্ধ । যার অর্থ এটি অবশেষে অনলাইনে প্রচুর স্থানে পরিণত হবে, তবে সেই সময় পর্যন্ত আমরা এখানে এটি নিয়ে আলোচনা করব না

এবং এটি আমাকে আমার সত্যিকারের সুপার ব্যবহারকারী প্রশ্নে ফেলেছে:

উইন্ডোজ 10 সংস্করণ 1607 কে এটি পূর্ববর্তী সংস্করণ থেকে আপগ্রেড করা হয়েছে বলে গোপন রেজিস্ট্রি কীটি কী?


যদি আমি অনুমান করা বিপত্তি হয়। আপনি উইন্ডোজের পূর্ববর্তী সংস্করণ থেকে উইন্ডোজের নতুন সংস্করণে আপগ্রেড করার সময় একই কীটি সর্বদা ব্যবহৃত হয়।
রামহাউন্ড

1
@ রামহাউন্ড ... যা হবে?
গোলম

এই চাবিটি কে ব্যবহার করছে তার কোনও ইঙ্গিত? এর অস্তিত্ব সূচিত করে যে এটি নির্দিষ্ট পরিস্থিতিতে ব্যবহারের জন্য বাইরের পক্ষগুলিকে দেওয়া হয়েছিল। যদি এটি সত্য হয় তবে মাইক্রোসফ্টকে তাদের মধ্যে অন্তর্ভুক্ত হওয়ার জন্য জিজ্ঞাসা করা কি বুদ্ধিমান হবে না?

@ উইল 10 10 সিস্টেমে যেগুলি ইন-প্লেস বার্ষিকী আপডেট করেছে (তারা আপডেটের আগে কাজ করে এমন সিস্টেমগুলিকে অক্ষম করতে চায় না) সিস্টেমে কঠোর ড্রাইভার স্বাক্ষরকারী নীতি প্রয়োগ না করার জন্য মাইক্রোসফ্ট কীটি ব্যবহার করবে। অন্যদিকে এই কীটির অস্তিত্বটিকে একটি সুরক্ষা ঝুঁকি হিসাবে বিবেচনা করা যেতে পারে কারণ এটি কঠোর নীতিকে হতাশ করতে পারে যা মানুষ শেষ পর্যন্ত স্থান পেতে চায়।
golum

আপনি এই এক চেষ্টা করছেন? [HKEY_CURRENT_USER \ সফ্টওয়্যার \ নীতিগুলি \ মাইক্রোসফ্ট, উইন্ডোজ এনটি \ ড্রাইভার স্বাক্ষরকরণ] BehaviorOnFailedVerifyমূল মানটি " 0" এ পরিবর্তন করুন ।
হ্যাকস্ল্যাশ

উত্তর:


0

আপনি পরীক্ষামূলক বুট কনফিগারেশন বিকল্পটি ব্যবহার করতে পারেন

Bcdedit.exe -set TESTSIGNING ON

Make sure to disable the Secure Boot and boot to OS to execute bcedit commands, once done you can reboot to OS with secure boot enabled

টেস্টসিগনিং বুট কনফিগারেশন বিকল্পটি নির্ধারণ করে যে উইন্ডোজ ভিস্তা এবং উইন্ডোজের পরবর্তী সংস্করণগুলি কোনও ধরণের পরীক্ষা-স্বাক্ষরিত কার্নেল-মোড কোড লোড করবে কিনা। এই বিকল্পটি ডিফল্ট হিসাবে সেট করা নেই, যার অর্থ পরীক্ষার স্বাক্ষরিত কার্নেল-মোড ড্রাইভারগুলি উইন্ডোজ ভিস্তার 64৪-বিট সংস্করণ এবং উইন্ডোজের পরবর্তী সংস্করণগুলিতে ডিফল্টরূপে লোড হবে না।

দ্রষ্টব্য আপনি পরীক্ষামূলক বুট কনফিগারেশন বিকল্পটি পরিবর্তন করার পরে, পরিবর্তনটি কার্যকর হওয়ার জন্য কম্পিউটার পুনরায় চালু করুন।


টেস্টসাইনিং মোড কোনও বিকল্প নয় কারণ কার্নেলটি কোনও শংসাপত্র দ্বারা স্বাক্ষরিত ড্রাইভারগুলি লোড করবে এবং কোনও বিশ্বাসযোগ্য রুট শংসাপত্র কর্তৃপক্ষের কাছে চেইন করার জন্য বৈধতার প্রয়োজন হয় না। মূলত প্রশ্নটি হল একটি নতুন ইনস্টল হওয়া সিস্টেমটি ড্রাইভারের স্বাক্ষর বৈধতা নীতি সম্পর্কিত ক্ষেত্রে একটি আপগ্রেড হওয়া সিস্টেমের মতো আচরণ করা।
golum
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.