昨晚帮朋友公司的系统安装一个加密管理系统终端程序,但是处理过程可谓是一波三折,主要的原因还是跟 Windows 11 的安全机制有关系。
在执行加密终端程序的安装程序之后,系统提示需要重启电脑,重启之后,系统提示“无法在此设备上加载驱动程序 ,安全设置将阻止加载此驱动程序”,原因是这个加密管理系统终端程序是需要以驱动程序的方式注入系统内核以获取高权限的,但是这个驱动程序并未经过微软的驱动程序认证,无相关的驱动程序认证签名,基于微软的安全机制,禁止了加载这个驱动程序。如果要解除这个限制的话,可以临时禁用驱动程序强制签名,方法是:
1、执行后面这个命令,强制重启并进入到高级启动模式:shutdown /r /o /f /t 00
2、进入高级启动模式之后,点击“疑难解答”——“高级选项”——“启动设置”,然后系统会再次重启;
3、重启之后选择“禁用驱动程序强制签名”
如果能顺利执行以上操作,未签名的驱动程序应该能顺利加载,可是朋友的哪个电脑,不知道是 Windows 驱动程序的问题,还是主板BIOS的问题,进入到高级启动模式之后,鼠标和键盘居然无法使用(无线和有线都不行),奇怪的是,进入主板BIOS设置界面以及回到Windows 操作系统中,鼠标和键盘都能正常使用。由于这台电脑并没有PS/2接口,因此试了很多个方法(包括把BIOS恢复出厂设置),都无法在高级启动模式下使用鼠标键盘进行操作。
那只能回到正常的 Windows 11 操作系统里面进行操作了,并且需要以系统管理员的身份进行登录。登录后,以管理员权限运行命令提示符或者 PowerShell,执行这个命令:bcdedit /set nointegritychecks on (这个命令的作用是永久禁用驱动程序强制签名)。执行完毕后重启电脑。
重启电脑之后,本以为驱动程序可以正常加载了,但是随后系统又继续出现“无法在此设备上加载驱动程序 ,安全设置将阻止加载此驱动程序”这个提示!这应该不会再出现的啊,在命令提示符中执行了一下”bcdedit /enum”,可以看到“ nointegritychecks”一项是写着“Yes”的,说明已经禁用了驱动程序强制签名了,那么这个提示为什么还是会继续出现的呢?
后来想了一下,Windows 11 安全中心那里,有两个选项是跟这个加载未签名驱动程序功能有关的,具体的位置是在 Windows 安全中心——设备安全性,在“内核隔离”下方点击“内核隔离详细信息”,就会看到有“内存完整性”和“本地安全机构保护”这两个选项,这两个选项默认是打开的,特别是“本地安全机构保护”这个选项,它下方就写着“通过阻止未签名的驱动程序和插件加载到本地安全机构,帮助保护用户凭据。”摆明就和现在遇到的无法加载未签名的驱动程序情况有关系了。把这两个选项关闭,然后再重启电脑,朋友那个加密管理系统终端程序终于能顺利运行起来了!
不过,如果大家没有什么特殊的需求,上述这些安全选项,还是维持打开状态比较好。另外,如果想恢复驱动程序强制签名功能,可以在命令提示符或Powershell中执行这个命令:bcdedit /set nointegritychecks off
