Eingebettete Signaturen in einer Treiberdatei

In 64-Bit-Versionen von Windows Vista und höheren Versionen von Windows geben die Codesignaturanforderungen im Kernelmodus an, dass ein veröffentlichter Kernelmodus-Starttreiber über eine eingebettete SPC-Signatur (Software Publisher Certificate) verfügen muss. Für Treiber, die keine Starttreiber sind, ist keine eingebettete Signatur erforderlich.

Hinweis

Windows 10 für Desktopeditionen (Home, Pro, Enterprise und Education) und Windows Server 2016 Kernelmodustreiber müssen vom Windows Hardware Dev Center-Dashboard signiert werden, wofür ein EV-Zertifikat erforderlich ist. Weitere Informationen zu diesen Änderungen finden Sie unter Änderungen an der Treibersignatur in Windows 10.

Die Verwendung einer eingebetteten Signatur spart beim Systemstart erhebliche Zeit, da der Systemladeprogramm beim Systemstart nicht nach der Katalogdatei für den Treiber suchen muss. Ein typischer Computer verfügt möglicherweise über viele verschiedene Katalogdateien im Stammspeicher des Katalogs. Die Suche nach der richtigen Katalogdatei, um den Fingerabdruck einer Treiberdatei zu überprüfen, kann viel Zeit in Anspruch haben.

Zusätzlich zur Anforderung der Ladezeitsignatur, die durch die Codesignierungsrichtlinie im Kernelmodus erzwungen wird, erzwingt Plug & Play-Geräteinstallation (PnP) auch eine Installationszeitsignaturanforderung. Um die Signierungsanforderungen für die PnP-Geräteinstallation von Windows Vista und höheren Versionen von Windows zu erfüllen, muss ein Treiberpaket für ein PnP-Gerät über eine signierte Katalogdatei verfügen.

Eingebettete Signaturen beeinträchtigen die Signatur einer Katalogdatei nicht, da die in einer Katalogdatei enthaltenen Fingerabdrücke und der Fingerabdruck in einer eingebetteten Signatur den Signaturteil der Treiberdatei selektiv ausschließen.

Treiberdateien werden mit dem SignTool-Tool signiert.