Отключить проверку подписи драйверов в Windows

Коротко: проверка подписи драйверов — это механизм Windows, который требует цифровую подпись у драйверов для повышения безопасности. Без подписи установка блокируется. Иногда это мешает установить добросовестный драйвер из стороннего источника — в таких случаях можно временно или локально отключить проверку.

Что такое проверка подписи драйверов (в одну строку): механизм Windows, который проверяет цифровые подписи драйверов перед их загрузкой в систему.

Важно: отключение проверки подписи снижает безопасность системы. Выполняйте действия только если вы доверяете источнику драйвера и понимаете риски.

Варианты и когда их применять

• Нужна быстрая установка одного драйвера и вы планируете перезагрузить — используйте Параметры загрузки (временное отключение).
• Вы администратор и нужно разрешить установку неподписанных драйверов на компьютерах в сети — используйте Редактор локальной групповой политики (постоянно, для Pro/Enterprise).
• Нужно отключить проверку целостности на уровне загрузчика на одном ПК — используйте команды bcdedit или режим тестирования (Test Mode). Учтите возможные конфликты с Secure Boot.

Временное отключение через Параметры загрузки (Startup Settings)

Это самый безопасный и быстрый способ для однократной установки. После перезагрузки проверка подписи снова включится.

1. Откройте Параметры → Обновление и безопасность → Восстановление.
2. В разделе «Особые варианты загрузки» нажмите «Перезагрузить сейчас».
3. После перезагрузки выберите Диагностика → Дополнительные параметры → Параметры загрузки.
4. На экране Параметры загрузки нажмите клавишу F7 или 7 — опция “Disable driver signature enforcement” будет на месте.
5. Система перезагрузится в режиме с отключённой проверкой подписи. Установите драйвер. После следующей перезагрузки проверка вернётся.

Когда использовать: если нужно быстро установить один драйвер и вы готовы перезагрузить компьютер один раз.

Отключение через Редактор локальной групповой политики (постоянно для Pro/Enterprise)

Этот способ изменяет политику Windows и позволяет устанавливать неподписанные драйверы постоянно (пока политика не изменена). Работает в Windows Pro и Enterprise. На Windows Home штатного доступа к Групповой политике нет, но существуют официальные рекомендации Microsoft и сторонние методы для администраторов — используйте их осторожно.

Шаги:

1. Нажмите Win + S и введите «group policy» или «Редактор локальной групповой политики», затем выберите «Edit group policy».
2. В левой панели перейдите в «User Configuration» → «Administrative Templates» → «System» → «Driver Installation».
3. Найдите политику Code signing for driver packages и откройте её для редактирования.
4. Установите переключатель в положение Enabled, затем в блоке «Options» выберите значение Ignore.
5. Нажмите OK и закройте редактор. Теперь система позволит установку неподписанных драйверов.

Как вернуть обратно: вернитесь к пункту с политикой и установите «Not configured» или «Disabled».

Примечание: изменение групповой политики может вступать в силу не сразу на некоторых системах — при необходимости выполните gpupdate /force в командной строке.

Отключение через PowerShell / Терминал (bcdedit) — постоянное до отката

Команда bcdedit изменяет параметры загрузчика Windows. Это подходит, если вы хотите отключить проверку целостности драйверов на уровне загрузчика.

1. Щёлкните правой кнопкой по Пуск и выберите Terminal (Admin) в Windows 11 или Windows PowerShell (Admin) в Windows 10.
2. Подтвердите UAC, если появится запрос.
3. Введите команду и нажмите Enter:

bcdedit /set nointegritychecks on

4. Перезагрузите компьютер.

Чтобы снова включить проверку подписи, выполните:

bcdedit /set nointegritychecks off

Возможная ошибка: при попытке изменить этот параметр вы можете увидеть сообщение «The value is protected by Secure Boot policy and cannot be modified or deleted».

Если появилось такое сообщение, это означает, что Secure Boot запрещает изменение параметров загрузчика. Вы можете:

• Временно отключить Secure Boot в настройках UEFI/BIOS и повторить команду (требует осторожности и понимания последствий). Механика отключения зависит от производителя ноутбука/материнской платы.
• Использовать временное отключение через Параметры загрузки или политику групповой политики — эти способы не затрагивают Secure Boot.

Режим тестирования (Test Mode)

Test Mode включает загрузчик в режим, который принимает неподписанные драйверы. Этот режим удобен для разработчиков и тестирования.

1. Откройте Terminal (Admin) / PowerShell (Admin).
2. Выполните команду:

bcdedit /set testsigning on

3. Перезагрузите систему. В правом нижнем углу рабочего стола появится надпись “Test Mode”.

Чтобы отключить Test Mode:

bcdedit /set testsigning off

Замечание: Test Mode также может конфликтовать с Secure Boot и повышает риск загрузки неподписанного кода.

Когда эти методы не подходят (контрпримеры и альтернативы)

• Если Secure Boot обязателен в корпоративной среде и его отключение запрещено политикой безопасности — используйте подпись драйвера или запросите поддержку у вендора.
• Если драйвер вызывает нестабильность или BSOD — немедленно откатите изменения и удалите драйвер через Среду восстановления.
• Если вы не уверены в происхождении драйвера — лучше отказаться от установки и найти драйвер на официальном сайте производителя или в Центре обновления Windows.

Альтернативные подходы:

• Обратиться к производителю устройства за подписанной версией драйвера.
• Использовать официальные WHQL-подписанные драйверы.
• Проверить, нет ли встроенных универсальных драйверов в Windows Update.

Риски и меры предосторожности

Риск: выполнение неподписанного драйвера может привести к нестабильности, утечкам данных или снижению защиты от вредоносного кода.

Митигаторы:

• Перед установкой создайте точку восстановления системы или бэкап образа диска.
• Проверяйте цифровые подписи и хэши дистрибутива драйвера, если они доступны.
• Установите драйвер в тестовой среде (виртуальная машина) до установки на рабочую систему.
• Ограничьте права исполнителей и запускайте установку под учётной записью администратора только при необходимости.

Риск-матрица (качественная):

• Низкий риск: временное отключение через Параметры загрузки для одного проверенного драйвера. Митигатор — перезагрузка.
• Средний риск: использование групповой политики (широкое разрешение установки неподписанных драйверов). Митигатор — ограничить применение политики на контейнеры/группы устройств.
• Высокий риск: отключение Secure Boot + testsigning/nointegritychecks на машинах в продакшн. Митигатор — использовать только для тестовых или изолированных систем.

Критерии приёмки

1. Драйвер успешно установлен без ошибок в Диспетчере устройств.
2. Устройство функционирует по ожидаемым метрикам (тесты функциональности пройдены).
3. Система загружается без BSOD и ошибок служб, связанных с драйвером.
4. При возврате к исходной конфигурации (включение проверки подписи) система остаётся работоспособной.

Чек-лист для администратора перед установкой неподписанного драйвера

• Получен источник драйвера и проверена его репутация.
• Создана точка восстановления и/или образ системы.
• Протокол тестирования: что проверяют после установки (функции устройства, производительность, логи).
• Выбран способ отключения проверки (Параметры загрузки / Группа политики / bcdedit / Test Mode).
• План отката: инструкции и команды для возврата (см. ниже).

Быстрые команды и откат

Отключение проверки целостности загрузчика:

bcdedit /set nointegritychecks on

Включение обратно:

bcdedit /set nointegritychecks off

Включить Test Mode:

bcdedit /set testsigning on

Отключить Test Mode:

bcdedit /set testsigning off

Сброс групповой политики (если изменяли): откройте редактор и установите политику Code signing for driver packages в «Not configured».

Решение, какой метод выбрать — небольшая схема

flowchart TD
  A[Нужно установить неподписанный драйвер?] --> B{Это одна установка или постоянная политика?}
  B -- Одна установка --> C[Использовать Параметры загрузки 'F7']
  B -- Постоянно/для многих ПК --> D{Windows Pro/Enterprise?}
  D -- Да --> E[Использовать Редактор локальной групповой политики]
  D -- Нет --> F[Использовать bcdedit / Test Mode или установить подписанный драйвер]
  F --> G{Secure Boot включён?}
  G -- Да --> H[Рассмотреть временное отключение Secure Boot или использовать Параметры загрузки]
  G -- Нет --> I[Можно применить bcdedit / testsigning]

Короткое резюме

Отключение проверки подписи драйверов решает проблему с установкой неподписанных драйверов, но снижает безопасность системы. Выбирайте временное отключение через Параметры загрузки для единичных случаев, групповые политики — для администрирования множества машин, а bcdedit/testsigning — когда нужен полный контроль на уровне загрузчика. Всегда имейте план отката и делайте резервные копии.

Важно: если вы сомневаетесь в происхождении драйвера или его стабильности, лучше отказаться от установки и обратиться к вендору или искать подписанный аналог.

Примечания:

• На ноутбуках и предустановленных системах производитель может блокировать отключение Secure Boot или изменение настроек UEFI — ознакомьтесь с документацией устройства.
• После установки и проверки драйвера рекомендуется вернуть систему в исходное безопасное состояние (включить проверку подписи или отключить testsigning).

Конец руководства.