[Quote]

    Ander_73
  • 15549
  • Longevity: 8 years
  • Posts: 3914
  • REPUTATION:127

    [+] [-]
Приветствую, камрады!
Вводная.
Есть купленная Windows 10 x64 LTSC. Она решила обновиться до мартовского пакета KB5000822. У неё это не получилось. В результате имеем BSOD 5a CRITICAL SERVICE FAILURE.
Описание ситуации.
Через загрузку "Recovery Environment" входим в "Advanced Menu", выбираем "7. Disable Driver Signature Enforcement". И происходит загрузка!
Но если мы теперь добавим в BCD опции "testsigning" и "nointegritychecks" (как советуют мануалы), то никакой загрузки мы не получим, а получим всё тот же BSOD 5a.
Я пошёл дальше и добавил ключ "bootstatuspolicy ignoreallfailures" и даже DISABLE_INTEGRITY_CHECKS (хотя он и повторяет "nointegritychecks"). Ноль реакции, нет загрузки и перед нами BSOD 5a. На всякий случай, я даже применил групповую политику отмены "Code signing for drivers".
С какими же параметрами грузит Windows пункт "7. Disable Driver Signature Enforcement"? think

[Quote]

    dimo70
  • 17296
  • Longevity: 7 years 2 months
  • Posts: 3785
  • REPUTATION:27

    [+] [-]
  • Location: BG
Ander_73, а без вариантов вернуть состояние системы перед обновления и выключить их?

_________________
Signed off for violation of forum rules

[Quote]

    Gemostarter
  • 15956
  • Longevity: 7 years 10 months
  • Posts: 323
  • REPUTATION:35

    [+] [-]
Ander_73, aa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SystemStartOptions глянь.


Last edited by Gemostarter on 2021-04-18 15:26; edited 1 time in total

[Quote]

    Ander_73
  • 15549
  • Longevity: 8 years
  • Posts: 3914
  • REPUTATION:127

    [+] [-]
Gemostarter, aa
Спасибо, хорошая попытка! fr
Но, увы, нет... там только второстепенный OptIn
---
Гы, зато я наконец убедился, что совет писать DDISABLE_INTEGRITY_CHECKS - это просто троллинг (один раз похмельный индус набил лишнюю букву и понеслось...). Потому что в ключе SystemStartOptions при этом получается:
NOEXECUTE=OPTIN D               DISABLE_INTEGRITY_CHECKS

[Quote]

    Gemostarter
  • 15956
  • Longevity: 7 years 10 months
  • Posts: 323
  • REPUTATION:35

    [+] [-]
Ander_73, Я тут подумал... Если бы существовал способ отрубить проверку подписи при загрузке не руками, то автору активатора ODIN, вероятно, не пришлось бы корёжить winload.exe и ntoskrnl.exe. А ему пришлось, так что, видимо, способа нет.

[Quote]

    Ander_73
  • 15549
  • Longevity: 8 years
  • Posts: 3914
  • REPUTATION:127

    [+] [-]
84692способа нет
Безусловно, есть. И он (способ) применяется при нажатии F7. Другое дело, что простым смертным про него, видимо, не очень-то стремятся рассказать ab
---
Сугубое имхо, что применяют некие ключи реестра. И в процессе применения их тщательно вычищают.
Впрочем, тавтология. BCD - это тоже куст реестра ag

[Quote]

    loban_ser
  • 17796
  • Longevity: 6 years 11 months
  • Posts: 577
  • REPUTATION:24

    [+] [-]
Я так понимаю, что нужно:
bcdedit.exe /set nointegritychecks off
bcdedit /set testsigning off
вместо:
bcdedit.exe /set testsigning on
bcdedit.exe /set nointegritychecks on
You can try the following steps to disable driver signature enforcement:
Method 1:
Open Command prompt (Admin) by right clicking on start button.
Then type the command: bcdedit /set testsigning off.
Note: If you see a message saying the value is “protected by Secure Boot policy”, that means Secure Boot is enabled in your computer’s UEFI firmware which can be disabled from BIOS.
Method 2:
Restart your computer by pressing the shift key.
You will be on a blue screen asking you to “Choose an Option”.
Then select “Troubleshoot” from the options.
Then click on “Advanced Options”.
Then click on “Startup Settings”.
Then click on “Restart”.
Then your Computer will start and ask you to press a number to choose the option.
Please press 7 or F7 to “disable driver signature Enforcement”.

[Quote]

    Ander_73
  • 15549
  • Longevity: 8 years
  • Posts: 3914
  • REPUTATION:127

    [+] [-]
loban_ser, это тоже самое, что без ключей вообще. То есть по-умолчанию.
---
В главном Gemostarter прав: я поднял слишком глобальную тему (ЦП загрузочных модулей) и наверняка там всё не просто.

[Quote]

    Gemostarter
  • 15956
  • Longevity: 7 years 10 months
  • Posts: 323
  • REPUTATION:35

    [+] [-]
84693Сугубое имхо, что применяют некие ключи реестра
ИМХО, это была бы дыра в безопасности диаметром больше Галактики. Такие интимные вещи, как верификация драйверов при загрузке, должны оставаться между bootmgr, winload и ntoskrnl. Я бы, к примеру, даже запуск с недокументированными параметрами командной строки бы использовать не стал в таком деле.

[Quote]

    AZJIO
  • 17953
  • Longevity: 6 years 11 months
  • Posts: 1317
  • REPUTATION:127

    [+] [-]
Переустановить обновы при "7. Disable Driver Signature Enforcement" получится?


Display posts:    

Current time is: 08-Feb 16:17

All times are UTC + 3


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum