Все драйверы режима ядра для Windows 10 (1607) теперь должны быть подписаны Microsoft

6e4c7ce1b871074cd0c21a42215ca491.png
Драйвера, подписанные Microsoft, можно устанавливать и без разрешения владельца ноутбука, достаточно сертификата Microsoft (Источник: xkcd.com)

В прошлом году корпорация Microsoft объявила о том, что с выходом Windows 10 все новые драйвера режима ядра будет необходимо подтверждать в Windows Hardware Developer Center, для получения цифровой подписи Microsoft. Из-за ряда проблем это нововведение не вступило в силу, оставшись лишь уведомлением.

Теперь компания решила реализовать это изменение. Начиная с версии 1607 операционной системы Windows 10, ОС не будет загружать новые драйверы режима ядра, не подписанные в Windows Hardware Developer Center. Речь идет только о чистых установках операционной системы, а не об апгрейдах прежних версий Windows OS на Windows 10. В этом случае версию 1607 не затрагивают изменения в политиках.

Корпорация утверждает, что изменения требуются для того, чтобы сделать Windows более безопасной операционной системой. По мнению Microsoft, при введении режима загрузки только подписанных драйверов ядра риск компометации системы зловредным ПО значительно снижается.

Если вы разработчик драйверов, то для подписания своего драйвера необходимо выполнить следующие действия:
1. Убедиться в том, что вы отправили драйвер Microsoft через Windows Hardware Developer Center.
2. Начать процесс сертификации драйвера по процедуре Extended Validation (EV) Code Signing Certificate. Все драйверы, которые планируется загрузить для проверки, должны быть подписаны сертификатом EV.

Microsoft опубликовала и ряд ответов на дополнительные вопросы, которые могут возникнуть у разработчика или пользователя.

Один из вопросов касается исключений и драйверов с кросс-сертификатами:

  • Как и говорилось выше, изменения в политике подписания драйверов касаются только чистых установок Windows 10, а не обновлений с предыдущих версий ОС. В последнем случае валидны и кросс-сертификаты драйверов;
  • ПК с отключенным режимом Secure Boot также будут пропускать установку таких драйверов;
  • Драйвера, получившие кросс-сертификат до 29 июля 2015 года, остаются валдиными.

Что касается иных версий Windows, то изменения актуальны только для Windows 10 версии 1607. При этом загрузить драйвер на Windows Hardware Developer Center можно будет только при наличии EV сертификата.

В любом случае, теперь, если разработчик решил проверить работу драйвера на тестовой машине, ему придется выключать режим Secure Boot и подписывать сертификат самостоятельно, устанавливая драйвер при помощи соответствующего инструмента.

Комментарии (3)

  • 1 августа 2016 в 15:18

    0

    Это ж сколько ценного старого (или просто опенсорсного) софта перестанет работать…
  • 1 августа 2016 в 15:24

    0

    Вот теперь я точно не буду обновлять Windows — 99% драйверов в моей системе точно никогда не получат подпись — просто потому, что это драйвера для крайне специфичных девайсов, которые уже давно не поддерживаются производителем, а альтернативы неадекватно дорого, если вообще есть…
    • 1 августа 2016 в 15:29

      0

      для обновления нету такого ограничения, в статье об этом написано…

© Habrahabr.ru