Как проверить, не установлен ли на компьютере поддельный “driver signature enforcement”

Автор На чтение 10 мин Просмотров 1 Опубликовано

Сразу к сути: driver signature enforcement — это не отдельная программа, которую можно скачать, установить и увидеть в списке приложений. Это часть Windows, которая проверяет подписи драйверов перед их загрузкой. Поэтому если на компьютере появился “driver signature enforcement” как программа, утилита, служба или драйвер с таким именем — это уже повод внимательно проверить систему.

Не запускайте скачанные из интернета “проверщики DSE”, “установщики driver signature enforcement” и “фиксы подписи драйверов”. Часто такие файлы маскируются под системные инструменты, а на деле могут отключать защиту или устанавливать неизвестные драйверы.

Содержание
  1. Что именно может оказаться подделкой
  2. Быстрая проверка: с чего начать
  3. Проверьте, не включён ли тестовый режим Windows
  4. Посмотрите параметры загрузки через bcdedit
  5. Проверьте события CodeIntegrity
  6. Проверьте подписи подозрительных драйверов
  7. Как читать признаки: нормальная работа или повод для тревоги
  8. Как отличить настоящий системный механизм от подделки
  9. Дополнительная проверка через встроенную утилиту подписи драйверов
  10. Проверка через Autoruns: где часто прячутся поддельные драйверы
  11. Если нашли подозрительный файл или службу
  12. Частые ошибки при проверке
  13. Что делать в разных ситуациях
  14. Как лучше сделать проверку по порядку
  15. Итог

Что именно может оказаться подделкой

Поддельный “driver signature enforcement” обычно выглядит не как настоящий системный механизм, а как один из таких объектов:

  • программа с названием вроде Driver Signature Enforcement, DSE Tool, Signature Enforcer, Integrity Fix;
  • драйвер в C:\Windows\System32\drivers с подозрительным именем, например dse.sys, signature.sys, integrity.sys;
  • служба Windows с названием, связанным с подписью драйверов, но без издателя Microsoft;
  • сообщение от сайта или программы, которое просит “установить driver signature enforcement” или отключить проверку подписей;
  • включённый тестовый режим Windows, если вы сами его не включали для разработки драйверов.

Настоящая проверка подписи драйверов встроена в загрузку Windows. Её не устанавливают из архива, она не требует лицензионный ключ, не показывает рекламу и не появляется в автозагрузке как обычное приложение.

Быстрая проверка: с чего начать

Я бы начал с четырёх простых проверок. Они не требуют сторонних программ и помогают быстро понять, есть ли признаки подмены или отключения защиты.

  1. Проверьте, не включён ли тестовый режим Windows

    Нажмите Win + R, введите msinfo32 и откройте “Сведения о системе”. Посмотрите строку “Режим проверки”.

    • Отключено — нормальный вариант для обычного компьютера.
    • Включено — Windows разрешает загрузку тестово подписанных драйверов. Если вы не разработчик драйверов и сами это не включали, это красный флаг.

    Также посмотрите строку “Состояние Secure Boot”. Secure Boot — это не то же самое, что driver signature enforcement, но если он выключен без понятной причины, систему проще подменить при загрузке.

  2. Посмотрите параметры загрузки через bcdedit

    Откройте командную строку или PowerShell от имени администратора и выполните:

    bcdedit /enum all

    В выводе ищите параметры в текущей загрузочной записи. Особенно опасны вот эти:

    • testsigning Yes — включён тестовый режим подписи драйверов;
    • nointegritychecks Yes — отключены проверки целостности, это позволяет загружать неподписанные или изменённые компоненты;
    • debug Yes — включён режим отладки ядра, обычному пользователю он почти никогда не нужен.

    Если таких строк нет или рядом написано No, это хороший знак. Если они включены, а вы не знаете зачем — дальше систему лучше проверить внимательнее.

  3. Проверьте события CodeIntegrity

    Windows ведёт журнал событий, где появляются сообщения о проблемах с подписями драйверов. В PowerShell выполните:

    Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-CodeIntegrity'} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-List

    Смотрите не на сам факт наличия событий, а на смысл. Подозрительно, если Windows пишет, что не смогла проверить подпись файла, заблокировала загрузку драйвера или обнаружила файл с неизвестным издателем в системной папке драйверов.

  4. Проверьте подписи подозрительных драйверов

    Если вы нашли файл драйвера, который вызывает вопросы, проверьте его подпись. Например:

    Get-AuthenticodeSignature "C:\Windows\System32\drivers\имя_драйвера.sys" | Format-List

    Смотрите поля Status, SignerCertificate и Issuer. Нормальный системный драйвер обычно подписан Microsoft Windows или производителем оборудования. Если статус не Valid, издатель неизвестный, а файл лежит в системной папке драйверов — это повод разбираться.

Как читать признаки: нормальная работа или повод для тревоги

Что вы нашли Как это понимать Что делать
testsigning Yes в bcdedit Тестовый режим включён. Для обычного ПК это необычно. Проверить автозагрузку, драйверы, события CodeIntegrity. После чистки отключить тестовый режим.
nointegritychecks Yes Проверки целостности отключены. Это серьёзный признак ослабленной защиты. Не оставлять так. Проверить систему антивирусом, изучить драйверы, отключить параметр после очистки.
В “Сведениях о системе” режим проверки включён Windows разрешает тестовые драйверы. Если вы не разработчик — проверить, кто включил этот режим.
Файл dse.sys, dse*.sys или похожий драйвер без подписи Microsoft Само название не доказывает вред, но маскировка под системный механизм выглядит подозрительно. Проверить подпись, путь, издателя, хэш файла и события загрузки.
Программа “Driver Signature Enforcement” в установленных приложениях Настоящий механизм Windows так не устанавливается. Не запускать. Удалить только после проверки системы, чтобы не оставить следы вредоносной службы или драйвера.
Водяной знак “Test Mode” на рабочем столе Тестовый режим включён. Если вы его не включали — проверить систему.
Secure Boot выключен Это не доказывает поддельный DSE, но снижает защиту загрузки. Проверить, включался ли он специально. На обычном ПК лучше держать включённым, если железо поддерживает.

Как отличить настоящий системный механизм от подделки

Настоящий driver signature enforcement работает на уровне загрузки Windows и проверки целостности. Его нельзя открыть как обычную программу, он не просит права администратора через всплывающее окно и не предлагает “ускорить загрузку драйверов”.

Подделка чаще ведёт себя иначе:

  • распространяется архивом с форума, файлообменника или Telegram-канала;
  • просит отключить антивирус перед запуском;
  • обещает “разрешить установку любых драйверов”;
  • создаёт службу или драйвер с названием, похожим на системное;
  • меняет параметры загрузки Windows;
  • не имеет понятного издателя или использует чужую/сомнительную цифровую подпись.

Отдельный момент: наличие цифровой подписи не всегда означает, что файл безопасен. Подпись подтверждает, кто подписал файл и что его не меняли после подписи. Но если сертификат украден, куплен на сером рынке или используется легитимным производителем для сомнительного продукта, файл всё равно может быть опасным. Поэтому подпись нужно смотреть вместе с издателем, путём файла и поведением системы.

Дополнительная проверка через встроенную утилиту подписи драйверов

В Windows есть старая, но полезная утилита проверки подписи файлов. Нажмите Win + R, введите:

sigverif

Запустите проверку. Если утилита найдёт неподписанные драйверы в системных папках, не паникуйте сразу: иногда там остаются старые файлы, которые не загружаются. Но если неподписанный драйвер лежит в C:\Windows\System32\drivers и при этом в системе включён тестовый режим или отключены проверки целостности, это уже серьёзный повод копать глубже.

Проверка через Autoruns: где часто прячутся поддельные драйверы

Если хочется проверить глубже, используйте Autoruns из набора Microsoft Sysinternals. Запускайте его от имени администратора и включите проверку подписей: Options → Verify Code Signatures.

Дальше откройте вкладку Drivers и посмотрите:

  • путь к файлу — системные драйверы обычно находятся в C:\Windows\System32\drivers;
  • издателя — Microsoft Windows, Microsoft Corporation или известный производитель оборудования;
  • название — подозрительно, если оно выглядит как “DSE”, “Signature”, “Integrity”, но не связано с известным продуктом;
  • статус подписи — неизвестный издатель или ошибка проверки требует внимания.

Не удаляйте сразу всё, что кажется странным. Некоторые драйверы от видеокарты, антивируса, виртуальных машин, эмуляторов или сетевого оборудования могут выглядеть непривычно. Сначала проверьте подпись, издателя и путь.

Если нашли подозрительный файл или службу

Если проверка показала явные признаки подделки — например, неизвестный драйвер с именем DSE, включённый nointegritychecks или программу, которая маскируется под системный компонент, — действуйте спокойно.

  1. Не запускайте подозрительный файл повторно.
  2. Запишите путь, имя файла, имя службы и издателя.
  3. Посчитайте хэш файла:
    4. Get-FileHash "C:\путь\к\файлу.sys" -Algorithm SHA256
  4. Если файл не содержит личных или рабочих секретов, можно проверить его хэш или сам файл через сервисы вроде VirusTotal.
  5. Запустите полную проверку Microsoft Defender или другого антивируса, которому доверяете.
  6. Для подозрения на руткит или драйверный вредонос лучше использовать автономную проверку Defender Offline.

После очистки системы имеет смысл вернуть параметры загрузки в нормальное состояние. В командной строке от имени администратора можно выполнить:

bcdedit /set testsigning off
bcdedit /set nointegritychecks off
bcdedit /set debug off

Если система пишет, что параметр не найден, это не всегда ошибка: возможно, он и так не был включён. А вот удалять загрузочные записи через bcdedit /delete без понимания, что именно вы удаляете, не стоит. Можно случайно сломать загрузку.

Частые ошибки при проверке

  • Искать driver signature enforcement в списке программ. Настоящий механизм там не должен быть. Если он там есть — это не Windows DSE, а чья-то программа.
  • Отключать проверку подписи “для теста”. Так вы сами ослабляете защиту и можете открыть дорогу драйверному вредоносу.
  • Доверять одной зелёной галочке подписи. Подпись нужно смотреть вместе с издателем, путём файла и событиями загрузки.
  • Удалять файлы из C:\Windows\System32\drivers вручную без проверки. Можно удалить системный драйвер и получить синий экран или неработающее устройство.
  • Скачивать “официальные фиксы” с форумов. Если файл обещает “обойти driver signature enforcement”, он почти наверняка не является системным средством проверки.
  • Игнорировать надпись Test Mode. Для обычного пользователя это не нормальное состояние системы.

Что делать в разных ситуациях

  • Если вы увидели сообщение на сайте “установите driver signature enforcement” — скорее всего, это обман. Ничего не устанавливайте, закройте страницу и проверьте браузер на расширения.
  • Если программа с таким названием уже установлена — не запускайте её. Проверьте подписи, автозагрузку, службы и драйверы, затем удалите через штатные средства после сканирования системы.
  • Если в bcdedit включён testsigning или nointegritychecks — это повод проверить систему. Для обычного ПК такие параметры должны быть выключены.
  • Если найден неизвестный драйвер в системной папке — проверьте подпись, издателя, путь и хэш. Если издатель неизвестен, а файл появился недавно, лучше проверить его антивирусом и онлайн-сканером.
  • Если это рабочий компьютер — не чините сами, если есть ИТ-служба. Драйверный уровень — это близко к ядру системы, ошибка может привести к потере данных или неработоспособности устройства.
  • Если вы разработчик и сами включаете тестовый режим — используйте отдельный тестовый ПК или виртуальную машину. После работы отключайте testsigning, nointegritychecks и debug.

Как лучше сделать проверку по порядку

Самый спокойный и надёжный порядок такой:

  1. Откройте msinfo32 и проверьте “Режим проверки” и Secure Boot.
  2. Выполните bcdedit /enum all и найдите testsigning, nointegritychecks, debug.
  3. Проверьте события Microsoft-Windows-CodeIntegrity.
  4. Посмотрите подозрительные драйверы через Get-AuthenticodeSignature или Autoruns.
  5. Запустите полную или автономную проверку антивирусом.
  6. Если были включены тестовые параметры загрузки — после очистки отключите их через bcdedit.

Итог

Поддельный “driver signature enforcement” — это не настоящий системный компонент Windows, а чаще всего программа, драйвер или настройка, которая маскируется под механизм проверки подписей. На обычном компьютере DSE не устанавливается отдельно, не имеет собственного установщика и не должен появляться как приложение.

Начните с проверки msinfo32, bcdedit, событий CodeIntegrity и подписей подозрительных драйверов. Если видите включённый тестовый режим, nointegritychecks, неизвестный драйвер в System32\drivers или программу с названием DSE — считайте это поводом для полноценной проверки системы, а не просто странной настройкой Windows.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком