Treibersignierrichtlinie
Hinweis
Ab Windows 10 Version 1607 lädt Windows keine neuen Kernelmodustreiber, die nicht vom Dev Portal signiert sind. Um Ihren Treiber signiert zu lassen, registrieren Sie sich zuerst für das Windows Hardware Dev Center-Programm. Beachten Sie, dass ein EV-Codesignaturzertifikat erforderlich ist, um ein Dashboard-Konto einzurichten.
Es gibt viele verschiedene Möglichkeiten, Treiber an das Portal zu übermitteln. Für Produktionstreiber sollten Sie HLK/HCK-Testprotokolle übermitteln, wie unten beschrieben. Zum Testen auf Windows 10 Nur-Client-Systemen können Sie Ihre Treiber für die Nachweissignatur übermitteln, was keine HLK-Tests erfordert. Alternativ können Sie Ihren Treiber für die Testsignatur übermitteln, wie auf der Seite Erstellen einer neuen Hardwareübermittlung beschrieben.
Ausnahmen
Kreuzsignierte Treiber sind weiterhin zulässig, wenn einer der folgenden Punkte zutrifft:
- Der PC wurde von einer früheren Version von Windows auf Windows 10, Version 1607, aktualisiert.
- Sicherer Start ist im BIOS deaktiviert.
- Treiber wurden mit einem Endentitätszertifikat signiert, das vor dem 29. Juli 2015 ausgestellt wurde und das mit einer unterstützten crosssignierten Zertifizierungsstelle verkettet ist.
Um zu verhindern, dass Systeme nicht ordnungsgemäß gestartet werden, werden Starttreiber nicht blockiert, aber sie werden vom Programmkompatibilitäts-Assistenten entfernt.
Signieren eines Treibers für Clientversionen von Windows
Führen Sie die folgenden Schritte aus, um einen Treiber für Windows 10 zu signieren:
- Laden Sie für jede Version von Windows 10, für die Sie zertifizieren möchten, das Windows HLK (Hardware Lab Kit) für diese Version herunter, und führen Sie einen vollständigen Zertifikatdurchlauf für den Client für diese Version aus. Sie erhalten ein Protokoll pro Version.
- Wenn Sie über mehrere Protokolle verfügen, führen Sie sie mit dem neuesten HLK in einem einzelnen Protokoll zusammen.
- Übermitteln Sie Ihren Treiber und die zusammengeführten HLK-Testergebnisse an das Windows Hardware Developer Center-Dashboardportal.
Versionsspezifische Details finden Sie in der WHCP-Richtlinie (Windows-Hardwarekompatibilitätsprogramm) für die Windows-Versionen, die Sie als Ziel verwenden möchten.
Verwenden Sie zum Signieren eines Treibers für Windows 7, Windows 8 oder Windows 8.1 das entsprechende HCK (Hardware Certification Kit). Weitere Informationen finden Sie im Benutzerhandbuch des Windows-Hardwarezertifizierungskits.
Signieren eines Treibers für frühere Versionen von Windows
Vor Windows 10 Version 1607 erfordern die folgenden Treibertypen ein Authenticode-Zertifikat, das zusammen mit dem Kreuzzertifikat von Microsoft für die Kreuzsignierung verwendet wird:
- Gerätetreiber im Kernelmodus
- Gerätetreiber im Benutzermodus
- Treiber, die geschützte Inhalte streamen. Dies umfasst Audiotreiber, die puma (Protected User Mode Audio) und Protected Audio Path (PAP) verwenden, sowie Videogerätetreiber, die geschützte Befehle für die Verwaltung des Videopfad-Ausgabeschutzes (PVP-OPM) verarbeiten. Weitere Informationen finden Sie unter Codesignatur für geschützte Medienkomponenten.
Signierungsanforderungen nach Version
In der folgenden Tabelle sind Signaturrichtlinien für Clientbetriebssystemversionen aufgeführt.
Beachten Sie, dass der sichere Start nicht für Windows Vista und Windows 7 gilt.
Gilt für: | Windows Vista, Windows 7; Windows 8+ mit deaktiviertem sicheren Start | Windows 8, Windows 8.1, Windows 10, Versionen 1507, 1511 mit aktiviertem sicheren Start | Windows 10, Versionen 1607, 1703, 1709 mit aktiviertem sicheren Start | Windows 10, Version 1803 und höher mit aktiviertem sicheren Start |
---|---|---|---|---|
Architekturen: | Nur 64-Bit, keine Signatur für 32-Bit erforderlich | 64-Bit, 32-Bit | 64-Bit, 32-Bit | 64-Bit, 32-Bit |
Signatur erforderlich: | Eingebettete oder Katalogdatei | Eingebettete oder Katalogdatei | Eingebettete oder Katalogdatei | Eingebettete oder Katalogdatei |
Signaturalgorithmus: | SHA2 | SHA2 | SHA2 | SHA2 |
Zertifikat: | Standardstämme, die von der Codeintegrität als vertrauenswürdig eingestuft werden | Standardstämme, die von der Codeintegrität als vertrauenswürdig eingestuft werden | Microsoft-Stammzertifizierungsstelle 2010, Microsoft-Stammzertifizierungsstelle, Microsoft-Stammzertifizierungsstelle | Microsoft-Stammzertifizierungsstelle 2010, Microsoft-Stammzertifizierungsstelle, Microsoft-Stammzertifizierungsstelle |
Zusätzlich zur Treiberkodesignatur müssen Sie auch die Signierungsanforderungen für die PnP-Geräteinstallation für die Installation eines Treibers erfüllen. Weitere Informationen finden Sie unter Signierungsanforderungen für Plug & Play-Geräteinstallation (PnP).
Informationen zum Signieren eines ELAM-Treibers finden Sie unter Antischadsoftware für den frühen Start.
Weitere Informationen
- Installieren eines nicht signierten Treiberpakets während der Entwicklung und des Tests
- Signieren von Treibern für öffentliches Release
- Signieren von Treibern während der Entwicklung und des Tests
- Digitale Signaturen
- Problembehandlung bei Installations- und Ladeproblemen mit signierten Treiberpaketen