Requisitos de firma de código de controlador
Los controladores deben estar firmados con un certificado antes de enviarlos al panel de hardware. Su organización puede asociar cualquier número de certificados a su cuenta del panel y cada uno de los envíos debe estar firmado con cualquiera de esos certificados. No hay ninguna restricción en el número de certificados (tanto de validación extendida (EV) como estándar) asociados con la organización.
En este artículo se proporciona información general sobre los tipos de firma de código disponibles para los controladores, así como sobre los requisitos asociados para esos controladores.
Para obtener más información sobre los requisitos de firma de controladores, consulte las páginas siguientes:
- Driver Signing Changes in Windows 10
- Driver Signing changes in Windows 10, version 1607
- Update on Sysdev EV Certificate requirement
Dónde obtener certificados de firma de código
Los certificados de firma de código se pueden adquirir en una de las siguientes autoridades de certificación:
- Certificado de firma de código de DigiCert
- Certificado de firma de código de Entrust
- Certificado de firma de código de GlobalSign
- Certificado de firma de código de SSL.com
Controladores firmados con certificado EV
La cuenta del panel de Centro de desarrollo de hardware debe tener al menos un certificado EV asociado para enviar archivos binarios para la firma de atestación o para enviar archivos binarios para la certificación con HLK. Se aplican las reglas siguientes:
- El certificado EV registrado debe ser válido en el momento del envío.
- Aunque Microsoft recomienda firmar los envíos individuales con un certificado EV, puede firmar los envíos con un certificado de firma Authenticode que también esté registrado en su cuenta del Centro de partners.
- Todos los certificados deben ser SHA2 y estar firmados con el modificador de línea de comandos
/fd sha256de SignTool.
Si ya tiene un certificado EV aprobado de una autoridad de certificación, puede usarlo para establecer una cuenta del Centro de partners. Si no tiene un certificado EV, elija una de las autoridades de certificación y siga sus instrucciones de compra.
Una vez que la autoridad de certificación haya comprobado la información de contacto y se apruebe la compra del certificado, siga sus instrucciones para recuperar el certificado.
Controladores probados por HLK y firmados por el panel
Un controlador firmado por el panel que haya superado las pruebas de HLK funcionará en Windows Vista a través de Windows 10, incluidas las ediciones de Windows Server. Las pruebas de HLK son el método recomendado para la firma de controladores, ya que firmarán un controlador para todas las versiones del sistema operativo. Además, los controladores probados por HLK demuestran que un fabricante ha probado rigurosamente su hardware para cumplir todos los requisitos de Microsoft en cuanto a confiabilidad, seguridad, eficiencia energética, capacidad de servicio y rendimiento con el fin de proporcionar una gran experiencia de Windows. Esto incluye el cumplimiento de los estándares del sector y de las especificaciones de Microsoft para características específicas de la tecnología, lo que ayuda a garantizar que la instalación, la implementación, la conectividad y la interoperabilidad sean correctas. Para obtener información sobre cómo crear un controlador probado por HLK para el envío del panel, consulte Introducción a Windows HLK.
Controladores con firma de atestación de Windows 10 para escenarios de pruebas
La instalación de dispositivos Windows usa firmas digitales para comprobar la integridad de los paquetes de controladores y la identidad del publicador de software que proporciona los paquetes de controladores.
Solo con fines de prueba, puede enviar los controladores para la firma de atestación, lo que no requiere pruebas de HLK.
La firma de atestación tiene los siguientes requisitos y restricciones:
Los controladores de firma certificada no se pueden publicar en Windows Update para el público minorista. Para publicar un controlador en Windows Update para audiencias de comercio minorista, debe enviar el controlador a través del Programa de compatibilidad de hardware de Windows (WHCP). La publicación de controladores con firma de atestación en Windows Update con fines de prueba se puede realizar seleccionando las opciones CoDev o Test Registry Key / Surface SSRK.
La firma de atestación solo funciona en Windows 10 Desktop y versiones posteriores de Windows. Un controlador con firma de atestación no funcionará para otras versiones de Windows, como Windows Server 2016, Windows 8 o Windows 7.
La firma de atestación admite el modo de kernel de Windows 10 Desktop y los controladores de modo de usuario. Aunque no es necesario que los controladores de modo de usuario hayan sido firmados por Microsoft para Windows 10, se puede usar el mismo proceso de atestación para los controladores de modo de usuario y de kernel. Para los controladores que se tienen que ejecutar en versiones anteriores de Windows, debe enviar registros de prueba de HLK/HCK para la certificación de Windows.
La firma de atestación no devolverá el nivel de PE adecuado para los archivos binarios PE de ELAM o Windows Hello. Estos se deben probar y enviar como paquetes .hlkx para recibir los atributos de firma adicionales.
La firma de atestación requiere el uso de un certificado de validación extendida (EV) para enviar el controlador al Centro de partners (panel del Centro de desarrollo de hardware).
La firma de atestación requiere que los nombres de carpeta del controlador no contengan caracteres especiales ni rutas de acceso a recursos compartidos de archivos UNC y que tengan menos de 40 caracteres de longitud.
Cuando un controlador recibe la firma de atestación, no está certificado por Windows. Una firma de atestación de Microsoft indica que Windows puede confiar en el controlador, pero que el controlador no se ha probado en HLK Studio y no hay garantías de compatibilidad, funcionalidad, etc. Un controlador que recibe la firma de atestación no se puede publicar para audiencias de comercio minorista a través de Windows Update. Si desea publicar un controlador para audiencias de comercio minorista, debe enviarlo a través del Programa de compatibilidad de hardware de Windows (WHCP).
DUA (Driver Update Acceptable) no admite controladores firmados mediante atestación.
Los siguientes archivos binarios y niveles de PE se pueden procesar por medio de atestación:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .xpi
- .xap
Para obtener información sobre cómo crear un controlador con firma de atestación para controladores de Windows 10 o posterior, consulte Firma de controladores de Windows 10 o posterior mediante atestación.
Controladores firmados de Windows Server
- Windows Server 2016 y las versiones posteriores no aceptarán envíos de firmas de controladores de dispositivos y filtros por atestación.
- El panel solo firmará controladores de dispositivo y filtro que hayan superado las pruebas de HLK.
- Windows Server 2016 y las versiones posteriores solo cargarán los controladores firmados por el panel que hayan superado las pruebas de HLK.
Control de aplicaciones de Windows Defender
Las empresas pueden implementar una directiva para modificar los requisitos de firma de controladores con Windows 10 Enterprise Edition. El Control de aplicaciones de Windows Defender (WDAC) proporciona una directiva de integridad de código definida por la empresa, que se puede configurar para requerir al menos un controlador con firma de atestación. Para obtener más información sobre WDAC, consulte Planificación e introducción del proceso de implementación del Control de aplicaciones de Windows Defender.
Requisitos de firma de controladores de Windows
En la tabla siguiente se resumen los requisitos de firma de controladores para Windows:
| Versión | Firmado por panel de atestación | Firmado por panel con prueba de HLK superada | Con firma cruzada mediante un certificado SHA-1 emitido antes del 29 de julio de 2015 |
|---|---|---|---|
| Windows Vista | No | Sí | Sí |
| Windows 7 | No | Sí | Sí |
| Windows 8 / 8.1 | No | Sí | Sí |
| Windows 10 | Sí | Sí | No (a partir de Windows 10 1809) |
| Windows 10: DG habilitado | *Depende de la configuración | *Depende de la configuración | *Depende de la configuración |
| Windows Server 2008 R2 | No | Sí | Sí |
| Windows Server 2012 R2 | No | Sí | Sí |
| Windows Server >= 2016 | No | Sí | Sí |
| Windows Server >= 2016: DG habilitado | *Depende de la configuración | *Depende de la configuración | *Depende de la configuración |
| Windows IoT Enterprise | Sí | Sí | Sí |
| Windows IoT Enterprise: DG habilitado | *Depende de la configuración | *Depende de la configuración | *Depende de la configuración |
| Windows IoT Core(1) | Sí (no es obligatorio) | Sí (no es obligatorio) | Sí (la firma cruzada también funcionará para los certificados emitidos después del 29 de julio de 2015) |
*Depende de la configuración: con Windows 10 Enterprise Edition, las organizaciones pueden usar el Control de aplicaciones de Windows Defender (WDAC) para definir requisitos de firma personalizados. Para obtener más información sobre WDAC, consulte Planificación e introducción del proceso de implementación del Control de aplicaciones de Windows Defender.
(1) La firma de controladores es obligatoria para los fabricantes que crean productos de comercio minorista (es decir, con una finalidad distinta al desarrollo) con IoT Core. Para obtener una lista de autoridades de certificación (CA) aprobadas, consulte Certificados cruzados para la firma de código de modo de kernel. Si el arranque seguro UEFI está habilitado, los controladores deben estar firmados.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de