Deaktivieren der digitalen Treibersignierung bzw. nicht signierte Treiber laden

Seit der Einführung von 64-Bit Betriebssystemen erlaubt Microsoft keine unsignierten Treiber mehr. Es gibt seit Vista SP1 keine einfache Möglichkeit mehr, die Treibersignierung dauerhaft abzuschalten. Microsoft hat die sogenannte "Kernel Patch Protection" (KPP) eingeführt, welche unter 64-Bit Windows System das Laden von unsignierten Treibern, aus Sicherheitsgründen, unterbinden soll.

Unter Vista funktioniert eine temporäre Unterbindung der Treibersignierung. Beim Start des Betriebssystems die Taste [F8] drücken. Das klappt leider nur bei einem Systemstart, beim nächsten Start ist alles wieder beim Alten. Will man den Treiber dauerhaft nutzen, müsste man jedesmal [F8] drücken, was nicht praktikabel ist.
Gerade bei einer 64-Bit-Umgebung hilft der oben genannte Trick oder bei einer Fehlermeldung wie »Driver not installed. Error«.

Führen Sie die Eingabeaufforderung als Administrator aus und deaktivieren Sie die Benutzerkontensteuerung für die folgenden Tipps. Wir zeigen hier 5 Möglichkeiten.

*UAC deaktivieren für Windows Vista*
*UAC deaktivieren für Windows 7 und Windows 8*

1. Möglichkeit

Geben Sie folgenden Befehl ein:


Bcdedit.exe /set nointegritychecks ON

Danach ist die digitale Treibersignatur deaktiviert.

Nach [Enter] geben Sie diesen Befehl ein:


bcdedit -set loadoptions \"DDISABLE_INTEGRITY_CHECKS"

(statt -set können Sie auch /set verwenden)

Minimieren Sie das Kommando-Fenster.

Kommandozeilenfenster

Installieren Sie nun den unsignierte Treiber.

Danach maximieren Sie das Kommando-Fenster und führen den Befehl aus:


bcdedit -deletevalue loadoptions

 

Danach sollte der unsignierte Treiber installiert sein.

2. Möglichkeit

Windows 8.x
Unter Windows 8.x können Sie im Bootmenü die Treibersignatur deaktivieren. Im Bootmenü unter "Option auswählen" – Problembehandlung – "Erweiterte Optionen" – Starteinstellungen – [Neu starten], erst dann funktioniert die Funktionstaste [F7] (Erzwingen der Treibersignatur deaktivieren).

Windows 8.x Bootmenü

Weitere Infos im Artikel: "Das neue Verhalten des Boot-Managers von Windows 8"

3. Möglichkeit

Eine weitere Möglichkeit unter Windows 7 und Windows 8.x ist im Testmodus den unsignierten Treiber zu installieren.
Die Eingabeaufforderung als Administrator ausführen und folgende Befehle eingeben:


bcdedit -set loadoptions \"DDISABLE_INTEGRITY_CHECKS"

 

Danach dann den Befehl eingeben:


bcdedit set testsigning ON

 

Starten Sie das System neu. Danach befinden Sie sich im Testmodus, erkennbar an den kleinen Schriftzug "Testmodus" unten rechts.

Testmodus


Installieren Sie den oder die unsignierten Treiber.

Danach verlassen Sie den Testmodus mit folgenden Befehl:


bcdedit set testsigning OFF

 

Danach sollte der unsignierte Treiber installiert sein.

4. Möglichkeit

Die Gruppenrichtlinie
In der Gruppenrichtlinie können Sie die Codesignatur für Gerätetreiber "Ignorieren", nur werden die Betriebssysteme Windows Server 2003, Windows XP und Windows 2000 unterstützt. Ob die Einstellung auch für Vista, Windows 7 und Windows 8.x funktioniert, ist nicht dokumentiert.

- Start -> Ausführen -> gpedit.msc [OK]
- Benutzerkonfiguration -> Administrative Vorlagen -> System -> Treiberinstallation -> "Codesignatur für Gerätetreiber" -> EIGENSCHAFTEN oder BEARBEITEN -> Einstellungen -> von "Nicht konfiguriert" auf "Aktiviert" setzen und unter
"Beim Ermitteln einer digitalen Signatur:" bzw.
"Beim Ermitteln einer Treiberdatei ohne digitale Signatur:"
Ignorieren auswählen.
- System neu starten und schon wird der unsignierte Treiber ohne Fehler gestartet.

Gruppenrichtlinie

5. Möglichkeit

Windows 7 und Windows 8.x
Um die Treibersignierung in Windows 7 und 8.x zu umgehen, können Sie ein eigenes Zertifikat erstellen. Microsoft stellt Software-Entwicklern einen Modus im Windows zur Verfügung, der Test-Installationen auch ohne digitale Treibersignatur ermöglicht und lediglich ein Test-Zertifikat erfordert, welches keiner digitalen Prüfung (digital verified) unterliegt.

Dies bedeutet, daß man ein selbst erstelltes Test-Zertifikat verwenden kann für einen unsignierten Treiber.

UAC sollte deaktiviert sein und im Testmodus der Virenscanner.
Die Eingabeaufforderung als Administrator ausführen und folgenden Befehl eingeben:

bcdedit /set testsigning ON

Nach [Enter] starten Sie den PC neu. Auf dem Desktop ist nun rechts unten ein kleinen Schriftzug "Testmodus" zu sehen.

Testmodus

Im Testmodus die Eingabeaufforderung (cmd) als Administrator ausführen.

Hinweis: Die drei folgenden Befehle sind Teil der SDK für Windows 7, Windows 8, Windows 8.1 und nicht alleine als Download verfügbar. Es reicht aber aus, nur die Tools aus dem Abschnitt Native Code Development zu installieren, welche sich dann im Ordner ProgramFiles\Microsoft SDKs\Windows\Version\Bin bzw. ProgramFiles\Microsoft SDKs\Windows\Version\Bin\x64 finden.

Der nächste Befehl erstellt ein neues Zertifikat:
makecert.exe -$ individual -r -pe -ss "my Certificates" -n CN="certmaker" "test.cer" [Enter]

Der nächste Befehl fügt das Zertifikat lokal zu den vertrauenswürdigen Zertifikaten hinzu:
certmgr.exe /add "test.cer" /s /r localMachine root [Enter]

Der letzte Befehl signiert den Treiber:
signtool.exe sign /v /s "my Certificates" /n "certmaker" \*.* [Enter]

Jetzt kann der signierte Treiber im Testmodus installiert werden.

Wenn Sie fertig sind geben Sie dann den Befehl ein, damit Sie aus dem Testmodus wieder rauskommen:
bcdedit /deletevalue testsigning [Enter]

Starten Sie den PC dann neu - Sie sind wieder im normalen Modus und der (un)signierte Treiber ist installiert.

Das Tool "Driver Signature Enforcement Overrider" (kurz DSEO) ermöglicht Software Installationen ohne Prüfung der digitalen Treibersignatur über den Testmodus, laut Herstellerangaben unter Vista (32-/64-Bit), Win7 (32-/64-Bit) und Server 2008 (32-/64-Bit).


Weblinks

Bewertung

Besucherwertung (47 Stimmen)
4 / 6
(Höher ist besser)

Haben Sie Fragen dazu oder Probleme mit dem Tipp, dann melden Sie uns dies über das spezielle Kontaktformular.
Danke sagt das WinTotal-Team.