Chi ha avuto a che fare con Windows Vista 64-bit e software il cui funzionamento poggia sull’installazione di driver non firmati – e quindi non riconosciuti come sicuri dal sistema operativo di Microsoft – sicuramente sa quanto sia odioso il problema.
Ne è un esempio PeerGuardian, il programma di filtraggio indirizzi IP tra i più conosciuti nell’ambiente P2P. Chi ha provato ad installare quest’applicazione su Vista si è ritrovato sicuramente di fronte all’impossibilità di terminare la procedura con successo, per colpa del driver utilizzato da PeerGuardian che non possiede la firma necessaria affinché il sistema lo riconosca come sicuro.
A questo punto le opzioni sono due: 1) rinunciare ed optare per una soluzione alternativa…e firmata da mamma MS (ma allora non staremmo qui a parlarne :-); oppure 2) trovare il modo di aggirare il problema del controllo della firmatura dei driver (ovviamente noi optiamo per la seconda!).
“Googlando” per la rete sono riuscito a trovare alcune soluzioni piuttosto valide, ognuna con i suoi pro e contro, ma vediamole una per una:
DISCLAIMER: (noioso ma d’obbligo :-) ATTENZIONE!!! Alcuni passaggi e/o applicazioni descritti più avanti, andranno ad intervenire sui file di configurazione e/o di sistema di Windows. E’ quindi d’obbligo ricordare che, oltre alla buona abitudine di effettuare copie backup dei dati importanti prima di ogni intervento di questo genere, è possibile che qualcosa non vada per il verso giusto, e che quindi ci sia la possibilità di non riuscire più ad avviare il sistema. TUTTI I DATI VENGONO FORNITI A PURO SCOPO INFORMATIVO, SONO STATI TESTATI PERSONALMENTE E NON HANNO CREATO PROBLEMI (MA OGNI CASO E’ DIVERSO) E VENGONO FORNITI COSI’ COME SONO, SENZA ALCUN TIPO DI GARANZIA. NON MI ASSUMO ALCUNA RESPONSABILITA’ PER QUALSIASI EVENTUALE DANNO DERIVATO DALL’USO IMPROPRIO E/O ERRATO DI TALI INFORMAZIONI.
- la più semplice. All’avvio del sistema, subito dopo la fase di POST, prima che appaia la classica schermata di caricamento di Windows, premiamo il tasto F8 fintanto che non appare l’elenco delle opzioni avanzate di Windows. Da questo elenco selezioniamo la voce Disable driver signature enforcement(solitamente è la penultima, prima dell’opzione Start Windows Normally). Fatto. Per tutta la successiva sessione, fino a che non riavviamo il sistema, il controllo della firma dei driver sarà inibito e potremo installare ed eseguire senza alcun problema qualsiasi software non firmato. Naturalmente, nel caso di macchine in multi-boot, sarà necessario prima di tutto selezionare come sistema operativo da avviare, Microsoft Vista, quindi successivamente procedere nel modo già descritto. PRO: è possibile decidere quando abilitare/disabilitare questo controllo; è utile nel caso di software utilizzati ogni tanto in modo non continuo. CONTRO: l’utente è obbligato ad avviare il sistema e richiamare manualmente, tutte le volte, il menu avanzato;
- un altro metodo che potrebbe funzionare (per macchine Vista
pre-service pack 1) è quello della linea di comando. Dal menu di Windows selezioniamo Tutti i programmi –> Accessori –> Prompt dei comandi, clicchiamoci sopra col tasto destro e assicuriamoci di selezionare l’opzione Esegui come Amministratore, quindi digitiamo: bcdedit -set loadoptions DDISABLE_INTEGRITY_CHECKS e premiamo Invio. Come scritto poco sopra, questo metodo dovrebbe funzionare nelle macchine con Vista senza SP1, disabilitando permanentemente il check della firma ma, purtroppo, installando il SP1 si perde questa possibilità. PRO: disabilitazione automatica del controllo firme, sollevando l’utente dal dover agire manualmente ad ogni boot. CONTRO: inibizione del metodo da parte di Microsoft con l’installazione del SP1. - un metodo simile al precedente, è quello di intervenire, sempre mediante Prompt dei comandi, sui parametri di avvio di Windows. Quindi, apriamo il Prompt dei comandi come descritto al punto precedente, e digitiamo: bcdedit –set nointegritychecks 1, premiamo Invio ed al prossimo riavvio avremo inibito il controllo delle firme.
- un ulteriore metodo può essere quello di installare un piccolo programma che, in pratica, intervenendo sui file di boot del sistema, automatizza la procedura descritta al primo punto di questa lista. Quindi, scarichiamo Setup ReadyDriver Plus, l’applicazione in esame, lanciamo il setup e seguiamo i pochi semplici passaggi necessari all’installazione. Alla fine dell’installazione ci troveremo con una voce in più nel menu di avvio in multi-boot (ReadyDriver Plus, appunto), la quale permetterà in automatico al sistema di disabilitare il controllo delle firme. E’ necessario sottolineare che, perché il programma funzioni correttamente, il disco di sistema DEVE essere necessariamente C:, dal momento che l’applicazione va a modificare i file della cartella C:\Boot (cartella di sistema nascosta), pena il fallimento della procedura con i relativi problemi del caso. Alternativamente, è possibile utilizzare l’applicazione originale ReadyDriver (dalla quale ReadyDriver Plus è derivata), la quale permette di disabilitare il controllo attraverso il boot per mezzo di pendrive USB o CD/DVD. PRO: solleva l’utente dal dover disabilitare tutte le volte il controllo. CONTRO: obbligo di avere installato Vista nell’unità C: e modifica di file di sistema necessari al corretto avvio di Windows (cosa che porta quindi una piccola percentuale di rischio nel caso qualcosa vada storto). Nel caso di utilizzo di ReadyDriver, invece, l’obbligo di avviare il sistema per mezzo di pendrive o supporto ottico.
E’ importante porre attenzione al fatto che utilizzando il programma Setup ReadyDriver Plus, si va di fatto a modificare alcuni file del sistema operativo, e quindi, come in tutti i casi di hacking del sistema (patching del gestore dei temi di windows, et similia), si va contro a quelle che sono le direttive della licenza EULA di Windows.
E’ d’obbligo ricordare che l’installazione tramite uno dei metodi sopra elencati, di driver di sistema non firmati, che necessitano di essere caricati in fase di avvio di Windows (come ad esempio la patch del driver TCPIP.SYS, che chi ha a che fare con il file sharing conosce bene) è a “senso unico”. Questo significa che nel momento in cui installate tali tipi di driver, la disabilitazione del controllo delle firme diviene obbligatoria, pena il mancato avvio del sistema.
Infine, cosa da non sottovalutare, è bene ricordarsi che questo tipo di protezione (per quanto odiosa possa essere), è stato imposto da Microsoft proprio per evitare di installare nel sistema driver e quant’altro di potenzialmente pericoloso (leggasi trojan, malware, worm, ecc…), e quindi l’inibizione di tale controllo può portare anche a seri problemi di sicurezza dell’intero sistema.
Utente avvisato… ;-)
Spero di essere stato di aiuto. Un saluto a tutti.
Potrebbe interessarti anche:
Nessun commento:
Posta un commento
Credo nelle libertà collettive ed individuali, tutti dovremmo avere il diritto di dire/scrivere ciò che pensiamo, ma dato che questo è un servizio per la collettività (più che personale), prego chiunque intenda lasciare un commento, di utilizzare un linguaggio civile e non offensivo nei confronti di tutti. Questo blog è moderato dall'autore. Ogni commento offensivo nei confronti di persone, animali, cose, religioni, idee, e quant'altro, non sarà accettato. Ringrazio tutti coloro che contribuiscono a questo blog con i loro commenti. Grazie.