Ошибка при обновлении до Windows Storage Server 2016 или Windows Server 2016: Windows не удается проверить цифровую подпись для этого файла

В этой статье приводится обходное решение проблемы, из-за которой при обновлении до Windows Storage Server 2016 или Windows Server 2016 возникает ошибка (Windows не удается проверить цифровую подпись для этого файла).

Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ: 3193460

Симптомы

При попытке обновить систему до Windows Storage Server 2016 или Windows Server 2016 процесс не удается завершиться на 95 %, и вы получите следующее сообщение об ошибке:

Произошли следующие ошибки:
Windows не может проверить цифровую подпись для этого файла. Недавнее изменение оборудования или программного обеспечения могло привести к неправильной установке файла, подписанного неправильно или поврежденного, или к вредоносному ПРОГРАММНОму обеспечению, который может стать неизвестным источником. Во время автоматической установки произошла ошибка. Узлы необходимо настроить вручную.

Эта проблема возникает при следующих условиях:

• Windows Storage Server 2012 R2 обновляется до Windows Storage Server 2016 или Windows Server 2012 R2 до Windows Server 2016.
• В исходной системе установлена функция OOBE устройства OEM.

Причина

Эта проблема возникает из-за того, что некоторые системы OEM погрузки вместе с пользовательским обновлением при OOBE. Это обновление OOBE устанавливается с помощью службы управления образами и образами развертывания (DISM) и имеет специальную операцию переименования, которая заменяет основную функцию OOBE. Эта замена вызывает ошибку цифровой подписи.

Исправление ошибки 0xc0000428 при запуске или установке Windows

Пользователи ОС Windows знакомы с различными видами ошибок, в том числе критических, вследствие которых возникают знаменитые чёрные и синие «экраны смерти». Неполадки могут появляться при старте системы, во время работы, обновления или на разных этапах установки и могут быть вызваны программным либо аппаратным сбоем, при этом в большинстве случаев проблема легко решаема без привлечения к процессу специалистов. Сообщение, сопровождающееся кодом ошибки, отчасти помогает определить природу сбоя и устранить неисправность, хотя не всегда текст, описывающий ошибку достаточно информативен.

Например, нередко при запуске или установке Windows 7, 8, 10 возникает ошибка с кодом 0xc0000428, препятствующая дальнейшим действиям. Иногда сообщение даже указывает на проблемный файл и его расположение, а в сведениях о произошедшей ошибке можно увидеть пояснение к ней – «Системе не удаётся проверить цифровую подпись этого файла» или другую информацию. Когда сбойный файл не указывается, решение задачи усложняется. Почему появляется проблема и как от неё избавиться мы и рассмотрим.

Причины ошибки

Возникает BSOD ошибка 0xc0000428 спонтанно, часто на завершающем этапе установки Windows и при загрузке компонентов системы. В этом чаще всего виновен файл oem-drv64.sys, препятствующий процедуре ввиду отсутствия цифровой подписи, которую проверяет ОС. Иногда корректной установке может помешать неправильно заданный в BIOS режим, тогда его нужно будет поменять. Настройки могут слетать, что затем приводит ПК в состояние ошибки, код 0xc0000428. Кроме того, сбой может возникать, когда на компьютере стоит две операционные системы.

Ошибка 0xc0000428 может быть спровоцирована такими факторами:

• Попытка инсталляции нелегальной версии Windows.
• На одном из драйверов отсутствует цифровая подпись.
• Установка неподписанных драйверов на виртуальные машины, эмулирующие операционную систему.
• Отсутствие или повреждение драйвера, несоответствие версии ОС.
• Использование готовых .reg-файлов, позволяющих вносить изменения в реестр зависимо от внутреннего кода (твики реестра).
• Повреждение загрузчика.

От причины, по которой возникла ошибка 0xc0000428, напрямую зависит способ устранения проблемы. Поскольку знакомство с данным сбоем, как и с любым подобным, ничего хорошего не сулит, и проигнорировать его не получится, вопрос нужно решать путём выяснения и устранения источника этого явления.

Исправление ошибки 0xc0000428 при запуске Windows 10

Если проблема состоит в том, что в загрузке имеется элемент, не имеющий цифровой подписи, что проверяется системой, информация об этом появится в сообщении. Проверку идентификатора драйверов при загрузке Windows 7, 8, 10 можно отключить однократно или на всё последующее время работы системы, что часто помогает решить проблему. Иногда пользователь также видит и сведения о местонахождении некорректного системного файла, так что сбой можно устранить и путём его удаления. Таким образом, есть несколько вариантов устранения неисправности.

Однократное отключение проверки подлинности цифровой подписи

Рассмотрим сначала, как исправить ошибку 0xc0000428 при запуске Windows 7:

• Перезагружаем систему любым способом и жмём F8 до появления окна с выбором режима загрузки. Если это ноутбук, может потребоваться одновременное нажатие клавиш Fn+F
• Выбираем строчку «Отключение обязательной проверки подписи драйверов» или «Disable Driver Signature Enforcement» и нажимаем «Enter».

Выбор варианта загрузки Windows

Шаги по устранению проблемы на Windows 10 и 8:

• Для доступа к параметрам загрузки жмём F8 или, если у вас ноутбук, Fn+F
• Выбираем пункт 7 – «Отключить обязательную проверку подписи драйверов», для чего нажимает клавишу F7 или Fn+F Также можно нажимать 7 в верхнем ряду цифр.

Удаление проблемного файла

Далее следует удалить с жёсткого диска драйвер, создавший неприятность:

• Перезагружаем ПК и идём в параметры загрузки (F8).
• Жмём «Безопасный режим».
• Следуем по указанному в информации, сопровождающей ошибку, адресу (обычно это windows\system32\drivers\) и удаляем драйвер oem-drvsys.

Потребуется перезагрузка, после чего система запросит восстановление средствами Windows, и активация ОС. Если в сведениях об ошибке был указан другой файл, нужно найти и установить подходящий драйвер. При удалении драйвера oem-drv64.sys бывают нередкими проблемы с активацией системы, реже с пуском, поэтому может потребоваться отключить проверку цифровой подписи в принципе.

*После старта также нужно будет обратиться к редактору реестра (вызываем консоль «Выполнить», удерживая клавиши Win+R, вводим команду regedit) и удалить
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\oem-drv64.

Отключение проверки идентификатора драйверов на постоянной основе

С этой целью часто применяют сторонний софт, но можно также осуществить процедуру вручную:

• Запускаем командную строку на правах администратора.
• В ней прописываемexe /set nointegritychecks on.
• Перезагружаем компьютер, затем идём в BIOS/UEFU.
• Здесь отключаем опцию Secure Boot, если она включена (переводим в положение Disabled).

Отключение обязательной проверки подписи драйверов

Восстановление при загрузке

Все вышеописанные действия эффективны, когда речь не идёт о повреждении загрузчика системы. Если проблема не была решена, восстановление загрузчика Windows можно выполнить, применив загрузочную флешку с соответствующей версией ОС или диск, для чего нажать внизу справа «Восстановление системы», выбрать из меню «Выбор действия», «Поиск и устранение неисправностей», затем переходим в «Дополнительные параметры» и жмём «Восстановление при загрузке».

Как альтернативный вариант можно прибегнуть к возврату к созданной ранее точке восстановления Windows. Если таковые имеются, их можно найти в параметрах, загрузившись с флешки с ОС и нажав «Восстановление системы», после чего перейдя по меню. Того же эффекта можно добиться, используя командную строку с правами администратора, в консоли потребуется ввести команду rstrui.

Ошибка 0xc0000428 при установке Windows 10

Причины, почему система не устанавливается и на одном из этапов процесса появляется BSOD, могут быть разными. От провоцирующего фактора, в результате которого возникла ошибка 0xc0000428 при установке ОС Windows 10, напрямую зависит, какой из способов будет эффективен. Если сбой сопровождается сообщением с указанием сбойного элемента, который не проходит проверку цифровой подписи, инструкция по устранению проблемы та же, что и в предыдущем случае, когда система не запускается. Когда же источник неприятности неизвестен, придётся его искать.

Вывод ошибки 0xc0000428 во время загрузки Виндовс

Варианты, как исправить сбой с кодом 0xc0000428 при установке Windows 10:

• Иногда мешает процессу неправильно заданный режим в BIOS, для чего необходимо поменять его на UEFI (идём в BIOS – «Boot» – «Boot Menu», здесь выставляем «UEFI»).
• Ошибка нередко бывает спровоцирована криво записанным образом на накопитель. Тогда необходимо перезаписать флешку. Например, если проблема возникла при использовании мультизагрузочного накопителя с загрузчиком Grub4DOS, стоит записать иным способом.
• Иногда также помогает отключение Secure Boot в BIOS.
• Исправление ошибки 0xc0000428, появившейся при перезагрузке системы на начальном этапе процесса установки, может заключаться в удалении раздела с загрузчиком предыдущей ОС (если стояла ранее), или, если Windows 10 устанавливается на отформатированный диск, тогда нужно использовать другой образ системы.
• В некоторых случаях исправить ошибку можно путём возврата к предыдущей версии операционной системы и повторной инсталляции.

Все вышеизложенные способы устранения сбоя с кодом 0xc0000428 при установке Windows эффективны в тех или иных ситуациях, при этом иногда, например, при невозможности установить причину явления или необходимости повторной записи образа, решение вопроса может занять немало времени. Как правило, после устранения проблема больше не возникает.

Разбираемся с ошибкой загрузки из-за отсутствующей цифровой подписи драйвера в x64 системе

В этой статье постараюсь описать методику диагностики проблем с неподписанными файлами драйверов в x64 битной версии Windows систем, из-за которых компьютер перестает загружаться и при загрузке падает в BSOD. Но систему все-таки можно загрузить, отключив проверку цифровой подписи при загрузке (F8 -> Disable Driver Signature Enforcement). В качестве примера в этой статье я буду работать с Windows Server 2008 R2 (которая, напомню, бывает только в 64-разрядной редакции), но данная методика подойдет так и для Windows 7 x64 и Vista x64.

Если вернуться к предыстории вопроса, то вспомним, что Microsoft приняла решение о том, что в 64-битных системах, начиная с Windows Vista, Windows загружает драйвера в режим ядра только в том случае, если драйвер имеет цифровую подпись. Если же цифровая подпись драйвера отсутствует, то при загрузке системы случается критическая ошибка (зависит от типа драйвера, загрузка которого заблокирована) и появляется экран BSOD. Конкретная ошибка и ее код зависят от конкретного драйвера, который заблокирован в процессе загрузки. Некоторые ошибок прямо на экране BSOD могут указывать на файл неподписанного драйвера.

В моем случае после обновления драйверов на сервере Windows 2008 r2 при обычной загрузки машины появился синий экран смерти с текстом:

STOP: c000021a (fatal System Error)

The initial session process or system process terminated unexpectedly with a status of 0x00000000 (0xc000428 0x00100448). The system has been shut down

Попробуем выяснить что это за ошибка, какой драйвер ее вызывает т определим по драйверу конкретное устройство.

Для декодирования ошибки нам нужен второй параметр (он выделен жирным) — 0xc000428.

Преобразуем hex код ошибки в более удобочитаемую форму. Для этого можно воспользоваться встроенной в Windows утилитой SLUI.EXE или же сопоставить код этой ошибки в файле ntstatus.h, найти который можно в Windows SDK. Воспользуемся первым способом, для чего в командной строке выполним:

Как вы видите на скриншоте, мы убедились в том, что BSOD вызвана невозможностью проверить цифровую подпись драйвера (“Windows cannot verify digital signature for this file”)

Перезагружаем наш компьютер и при загрузке жмем клавишу F8. В расширенном загрузочном меню (Advanced Boot Options) отключаем проверку цифровой подписи, выбрав Disable Driver Signature Enforcement .

В том случае, если в таком режиме сервер загрузиться, мы точно уверены в том, что некий неподписанный модуль или драйвер не позволяет системе нормально загрузиться.

Следующий шаг – определение файла проблемного модуля или драйвера. Откроем консоль журнал событий (Event Viewer) и перейдем в раздел Applications and Services Logs -> Microsoft -> Windows -> CodeIntegrity -> Operational.

Примечание: если при доступе к логам в этой ветке появляется ошибка “access denied”, создайте на диске c: каталог, предоставив группе Everyone полный доступ. Затем измените путь к файлу ETL на новый каталог, и отключите и заново включите логирование.

В моем случае, в журнале есть событие EventID 3001 с текстом «Code Integrity determined an unsigned kernel module \Device\HarddiskVolume1\Windows\System32\win32k.sys is loaded into the system. Check with the publisher to see if a signed version of the kernel module is available». Вот мы и нашли проблемный драйвер!

Данный драйвер может быть как родным драйвером Microsoft, так и драйвером стороннего разработчика. Удостоверимся, что данный драйвер действительно не имеет цифровой подписи. Для этого нам понадобится утилита от Sysinternals под названием SIGCHECK.EXE (взять ее можно тут http://technet.microsoft.com/en-us/sysinternals/bb897441).

Проверку наличия цифровой подписи выполним командой:

Если подпись отсутствует, то в поле Verified будет указано Unsigned (в противном случае, соответственно Signed).

Перед нами есть два варианта решения проблемы невозможности нормальной загруки системы с неподписанным драйвером:

1. Найти подписанную версию драйвера
2. Отказаться от использования данного драйвера (и устройства)
3. отключить проверку цифровой подписи драйвера в Windows

Третий вариант может не подойти по тем или иным причинам. В первых двух случаях нам нужно определить к какому конкретному устройству относится данный файл драйвера .sys.

Как же определить устройство, зная лишь имя sys-файла? Я использую следующую методику (пусть нам нужно определить устройство, драйвер которого имеет имя HpCISSs2.sys):

1) Открываем редактор реестра и поиском по ветке HKEY_LOAL_MACHINE\SYSTEM\ControlSet001 ищем ключ со значением HpCISSs2.sys

2) В моем случае он нашелся в ветке HKEY_LOAL_MACHINE\SYSTEM\ControlSet001\services\HpCISSs2

3) Разворачиваем вложенную ветку с названием ENUM, нас интересует значение ключа 0, в моем случае это PCI\VEN_103C&DEV_3230&SUBSYS_3235103C&REV_01\4&3b416f2c&0&0018

4) Определяем, что производитель устройства имеет ID 103C, а код устройства 3230

5) Далее на сайте указываем в полях Vendor Search и Device Search найденные нами коды.

6) Получаем что искомое нами устройство контроллер жестких дисков HP Smart Array P400 Controller.

Нам осталось лишь найти новую версию драйвера на сайте производителя оборудования (внимательно смотрите для каких версий ОС подходит нужный вам драйвер) и обновить драйвер на компьютере.