[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 1 месяц
  • Сообщений: 3586
  • Репутация:127

    [+] [-]
Приветствую, камрады!
Вводная.
Есть купленная Windows 10 x64 LTSC. Она решила обновиться до мартовского пакета KB5000822. У неё это не получилось. В результате имеем BSOD 5a CRITICAL SERVICE FAILURE.
Описание ситуации.
Через загрузку "Recovery Environment" входим в "Advanced Menu", выбираем "7. Disable Driver Signature Enforcement". И происходит загрузка!
Но если мы теперь добавим в BCD опции "testsigning" и "nointegritychecks" (как советуют мануалы), то никакой загрузки мы не получим, а получим всё тот же BSOD 5a.
Я пошёл дальше и добавил ключ "bootstatuspolicy ignoreallfailures" и даже DISABLE_INTEGRITY_CHECKS (хотя он и повторяет "nointegritychecks"). Ноль реакции, нет загрузки и перед нами BSOD 5a. На всякий случай, я даже применил групповую политику отмены "Code signing for drivers".
С какими же параметрами грузит Windows пункт "7. Disable Driver Signature Enforcement"? think

[Цитировать]

    dimo70
  • 17296
  • Стаж: 6 лет 3 месяца
  • Сообщений: 3990
  • Репутация:26

    [+] [-]
  • Откуда: BG
Ander_73, а без вариантов вернуть состояние системы перед обновления и выключить их?

_________________
Подпись отключена за нарушение правил форума

[Цитировать]

    Gemostarter
  • 15956
  • Стаж: 7 лет
  • Сообщений: 324
  • Репутация:35

    [+] [-]
Ander_73, aa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SystemStartOptions глянь.


Последний раз редактировалось: Gemostarter (2021-04-18 15:26), всего редактировалось 1 раз

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 1 месяц
  • Сообщений: 3586
  • Репутация:127

    [+] [-]
Gemostarter, aa
Спасибо, хорошая попытка! fr
Но, увы, нет... там только второстепенный OptIn
---
Гы, зато я наконец убедился, что совет писать DDISABLE_INTEGRITY_CHECKS - это просто троллинг (один раз похмельный индус набил лишнюю букву и понеслось...). Потому что в ключе SystemStartOptions при этом получается:
NOEXECUTE=OPTIN D               DISABLE_INTEGRITY_CHECKS

[Цитировать]

    Gemostarter
  • 15956
  • Стаж: 7 лет
  • Сообщений: 324
  • Репутация:35

    [+] [-]
Ander_73, Я тут подумал... Если бы существовал способ отрубить проверку подписи при загрузке не руками, то автору активатора ODIN, вероятно, не пришлось бы корёжить winload.exe и ntoskrnl.exe. А ему пришлось, так что, видимо, способа нет.

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 1 месяц
  • Сообщений: 3586
  • Репутация:127

    [+] [-]
84692способа нет
Безусловно, есть. И он (способ) применяется при нажатии F7. Другое дело, что простым смертным про него, видимо, не очень-то стремятся рассказать ab
---
Сугубое имхо, что применяют некие ключи реестра. И в процессе применения их тщательно вычищают.
Впрочем, тавтология. BCD - это тоже куст реестра ag

[Цитировать]

    loban_ser
  • 17796
  • Стаж: 6 лет 1 месяц
  • Сообщений: 578
  • Репутация:24

    [+] [-]
Я так понимаю, что нужно:
bcdedit.exe /set nointegritychecks off
bcdedit /set testsigning off
вместо:
bcdedit.exe /set testsigning on
bcdedit.exe /set nointegritychecks on
You can try the following steps to disable driver signature enforcement:
Method 1:
Open Command prompt (Admin) by right clicking on start button.
Then type the command: bcdedit /set testsigning off.
Note: If you see a message saying the value is “protected by Secure Boot policy”, that means Secure Boot is enabled in your computer’s UEFI firmware which can be disabled from BIOS.
Method 2:
Restart your computer by pressing the shift key.
You will be on a blue screen asking you to “Choose an Option”.
Then select “Troubleshoot” from the options.
Then click on “Advanced Options”.
Then click on “Startup Settings”.
Then click on “Restart”.
Then your Computer will start and ask you to press a number to choose the option.
Please press 7 or F7 to “disable driver signature Enforcement”.

[Цитировать]

    Ander_73
  • 15549
  • Стаж: 7 лет 1 месяц
  • Сообщений: 3586
  • Репутация:127

    [+] [-]
loban_ser, это тоже самое, что без ключей вообще. То есть по-умолчанию.
---
В главном Gemostarter прав: я поднял слишком глобальную тему (ЦП загрузочных модулей) и наверняка там всё не просто.

[Цитировать]

    Gemostarter
  • 15956
  • Стаж: 7 лет
  • Сообщений: 324
  • Репутация:35

    [+] [-]
84693Сугубое имхо, что применяют некие ключи реестра
ИМХО, это была бы дыра в безопасности диаметром больше Галактики. Такие интимные вещи, как верификация драйверов при загрузке, должны оставаться между bootmgr, winload и ntoskrnl. Я бы, к примеру, даже запуск с недокументированными параметрами командной строки бы использовать не стал в таком деле.

[Цитировать]

    AZJIO
  • 17953
  • Стаж: 6 лет 1 месяц
  • Сообщений: 1264
  • Репутация:127

    [+] [-]
Переустановить обновы при "7. Disable Driver Signature Enforcement" получится?


Показать сообщения:    

Текущее время: 28-Мар 16:05

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы