Signaturanforderungen für Treibercode
Ihre Treiber müssen mit einem Zertifikat signiert sein, bevor Sie sie an das Hardware-Dashboard übermitteln. Ihre Organisation kann einer beliebigen Anzahl von Zertifikaten sein Dashboard-Konto zuordnen, und jede Ihrer Übermittlungen muss mit einem dieser Zertifikate signiert werden. Es gibt keine Einschränkung für die Anzahl der Zertifikate (sowohl erweiterte Validierung (EV) als auch Standard), die Ihrer Organisation zugeordnet sind.
Dieser Artikel enthält allgemeine Informationen zu den Typen der für Ihre Treiber verfügbaren Codesignatur sowie zu den zugehörigen Anforderungen für diese Treiber.
Ausführlichere Informationen zu Treibersignaturanforderungen finden Sie auf den folgenden Seiten:
- Treibersignaturänderungen in Windows 10
- Treibersignaturänderungen in Windows 10, Version 1607
- Aktualisierung zur Sysdev EV-Zertifikatanforderung
Wo erhalten Sie Codesignaturzertifikate?
Codesignaturzertifikate können von einer der folgenden Zertifizierungsstellen erworben werden:
- DigiCert-Codesignaturzertifikat
- Entrust-Codesignaturzertifikat
- GlobalSign-Codesignaturzertifikat
- SSL.com-Codesignaturzertifikat
Signierte EV-Zertifikattreiber
Ihrem Hardware Dev Center-Dashboard-Konto muss mindestens ein EV-Zertifikat zugeordnet sein, um Binärdateien zur Signierung mit Nachweis zu übermitteln oder Binärdateien für die HLK-Zertifizierung zu übermitteln. Es gelten die folgenden Regeln:
- Ihr registriertes EV-Zertifikat muss zum Zeitpunkt der Übermittlung gültig sein.
- Während Microsoft dringend empfiehlt, einzelne Übermittlungen mit einem EV-Zertifikat zu signieren, können Sie alternativ Übermittlungen mit einem Authenticode-Signaturzertifikat signieren, das auch für Ihr Partner Center-Konto registriert ist.
- Alle Zertifikate müssen SHA2 sein und mit dem
/fd sha256SignTool-Befehlszeilenschalter signiert sein.
Wenn Sie bereits über ein genehmigtes EV-Zertifikat von einer Zertifizierungsstelle verfügen, können Sie es verwenden, um ein Partner Center-Konto einzurichten. Wenn Sie kein EV-Zertifikat besitzen, wählen Sie eines der Zertifizierungsstellen aus, und befolgen Sie die Anweisungen zum Kauf.
Nachdem die Zertifizierungsstelle Ihre Kontaktinformationen überprüft hat und der Zertifikatkauf genehmigt wurde, befolgen Sie die Anweisungen, um das Zertifikat abzurufen.
In HLK getestete und im Dashboard signierte Treiber
Ein im Dashboard signierter Treiber, der die HLK-Tests bestanden hat, funktioniert unter Windows Vista bis Windows 10, einschließlich Windows Server-Editionen. Ein HLK-Test ist die empfohlene Methode für die Treibersignierung, da er einen Treiber für alle Betriebssystemversionen signiert. Darüber hinaus zeigen in HLK getestete Treiber, dass ein Hersteller seine Hardware streng getestet hat, um alle Anforderungen von Microsoft hinsichtlich Zuverlässigkeit, Sicherheit, Energieeffizienz, Wartbarkeit und Leistung zu erfüllen und so eine großartige Windows-Erfahrung zu bieten. Dazu gehört die Einhaltung von Branchenstandards und die Einhaltung von Microsoft-Spezifikationen für technologiespezifische Features, um die korrekte Installation, Bereitstellung, Konnektivität und Interoperabilität sicherzustellen. Informationen zum Erstellen eines in HLK getesteten Treibers für Ihre Dashboard-Übermittlung finden Sie unter Erste Schritte mit dem Windows HLK.
Mit dem Windows 10-Nachweis signierte Treiber für Testszenarien
Die Windows-Geräteinstallation verwendet digitale Signaturen, um die Integrität von Treiberpaketen und die Identität des Softwareherausgebers zu überprüfen, der die Treiberpakete bereitstellt.
Nur zu Testzwecken können Sie Ihre Treiber zur Signierung mit Nachweis übermitteln, was keine HLK-Tests erfordert.
Das Signieren mit Nachweisen weist die folgenden Einschränkungen und Anforderungen auf:
Mit Nachweis signierte Treiber können nicht bei Windows Update für Zielgruppen im Einzelhandel veröffentlicht werden. Um einen Treiber für Einzelhandelskunden in Windows Update zu veröffentlichen, müssen Sie Ihren Treiber über das Windows-Hardwarekompatibilitätsprogramm (WHCP) übermitteln. Die Veröffentlichung signierter Treiber für Windows Update zu Testzwecken wird unterstützt, indem Sie die Optionen CoDev oder Registrierungsschlüssel testen / Surface SSRK auswählen.
Das Signieren mit Nachweis funktioniert nur unter Windows 10 Desktop und höheren Versionen von Windows. Ein mit Nachweis signierter Treiber funktioniert nicht für andere Versionen von Windows, z. B. Windows Server 2016, Windows 8 oder Windows 7.
Das Signieren mit Nachweis unterstützt Windows 10 Desktop Kernelmodus- und Benutzermodustreiber. Obwohl Benutzermodustreiber nicht von Microsoft für Windows 10 signiert werden müssen, kann derselbe Nachweisprozess sowohl für Benutzer- als auch für Kernelmodustreiber verwendet werden. Für Treiber, die in früheren Versionen von Windows ausgeführt werden müssen, sollten Sie HLK/HCK-Testprotokolle für die Windows-Zertifizierung übermitteln.
Beim Signieren mit Nachweis wird nicht die richtige PE-Ebene für ELAM- oder Windows Hello-PE-Binärdateien zurückgegeben. Diese müssen als .hlkx-Pakete getestet und übermittelt werden, um die zusätzlichen Signaturattribute zu erhalten.
Das Signieren mit Nachweis erfordert die Verwendung eines erweiterten Validierungszertifikats (EV), um den Treiber an das Partner Center (Hardware Dev Center Dashboard) zu übermitteln.
Darüber hinaus erfordert es, dass Treiberordnernamen keine Sonderzeichen, keine UNC-Dateifreigabepfade enthalten und weniger als 40 Zeichen lang sind.
Wenn ein Treiber eine Nachweissignatur erhält, ist er nicht Windows-zertifiziert. Eine Nachweissignatur von Microsoft weist darauf hin, dass der Treiber von Windows als vertrauenswürdig eingestuft werden kann, da der Treiber jedoch nicht in HLK Studio getestet wurde, gibt es keine Sicherheit hinsichtlich Kompatibilität, Funktionalität usw. Ein Treiber, der die Nachweissignatur erhält, kann nicht über Windows Update für Einzelhandelskunden veröffentlicht werden. Wenn Sie Ihren Treiber für Einzelhandelskunden veröffentlichen möchten, müssen Sie Ihren Treiber über das Windows-Hardwarekompatibilitätsprogramm (WHCP) übermitteln.
DUA (Driver Update Acceptable) unterstützt keine Treiber, die mit Nachweis signiert sind.
Die folgenden PE-Ebenen und Binärdateien können über den Nachweis verarbeitet werden:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- OCX
- .msi
- .xpi
- .xap
Informationen zum Erstellen eines mit Nachweis signierten Treibers für Windows 10- und höhere Versionstreiber finden Sie unter Nachweissignatur für Windows 10- und höhere Versionstreiber.
Signierte Windows Server-Treiber
- Windows Server 2016 und höhere Versionen akzeptieren keine Übermittlungen von Geräte- und Filtertreibersignaturen mit Nachweis.
- Das Dashboard signiert nur Geräte- und Filtertreiber, die die HLK-Tests erfolgreich bestanden haben.
- Windows Server 2016 und höhere Versionen laden nur im Dashboard signierte Treiber, die die HLK-Tests erfolgreich bestanden haben.
Windows Defender Application Control
Unternehmen können eine Richtlinie implementieren, um die Treibersignaturanforderungen mithilfe der Windows 10 Enterprise Edition zu ändern. Windows Defender Application Control (WDAC) stellt eine unternehmensdefinierte Codeintegritätsrichtlinie bereit, die möglicherweise so konfiguriert ist, dass mindestens ein mit Nachweis signierter Treiber erforderlich ist. Weitere Informationen zu WDAC finden Sie unter Planung und erste Schritte im Windows Defender Application Control-Bereitstellungsprozess.
Signaturanforderungen für Windows-Treiber
In der folgenden Tabelle sind die Treibersignaturanforderungen für Windows zusammengefasst:
| Version | Im Dashboard mit Nachweis signiert | Im Dashboard nach bestandenem HLK-Test signiert | Mit einem SHA-1-Zertifikat gegensigniert, das vor dem 29. Juli 2015 ausgestellt wurde |
|---|---|---|---|
| Windows Vista | Nein | Ja | Ja |
| Windows 7 | Nein | Ja | Ja |
| Windows 8/8.1 | Nein | Ja | Ja |
| Windows 10 | Ja | Ja | Nein (ab Windows 10 1809) |
| Windows 10 – DG aktiviert | *Konfigurationsabhängig | *Konfigurationsabhängig | *Konfigurationsabhängig |
| Windows Server 2008 R2 | Nein | Ja | Ja |
| Windows Server 2012 R2 | Nein | Ja | Ja |
| Windows Server >= 2016 | Nein | Ja | Ja |
| Windows Server >= 2016 – DG aktiviert | *Konfigurationsabhängig | *Konfigurationsabhängig | *Konfigurationsabhängig |
| Windows IoT Enterprise | Ja | Ja | Ja |
| Windows IoT Enterprise – DG aktiviert | *Konfigurationsabhängig | *Konfigurationsabhängig | *Konfigurationsabhängig |
| Windows IoT Core(1) | Ja (nicht erforderlich) | Ja (nicht erforderlich) | Ja (Gegensignatur funktioniert auch für Zertifikate, die nach dem 29. Juli 2015 ausgestellt wurden) |
*Konfigurationsabhängig – Mit Windows 10 Enterprise Edition können Organisationen Windows Defender Application Control (WDAC) verwenden, um benutzerdefinierte Signaturanforderungen zu definieren. Weitere Informationen zu WDAC finden Sie unter Planung und erste Schritte im Windows Defender Application Control-Bereitstellungsprozess.
(1) Die Treibersignierung ist für Hersteller erforderlich, die Einzelhandelsprodukte (d. h. für einen Nichtentwicklungszweck) mit IoT Core erstellen. Eine Liste der genehmigten Zertifizierungsstellen (Certificate Authorities, CAs) finden Sie unter Gegenzertifikate für Kernelmodus-Codesignatur. Wenn der sichere UEFI-Start aktiviert ist, müssen Treiber signiert werden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für