Requisitos de firma de código de controlador
Los controladores deben estar firmados con un certificado antes de enviarlos al panel de hardware. Su organización puede asociar cualquier número de certificados a su cuenta del panel y cada uno de los envíos debe estar firmado con cualquiera de esos certificados. No hay ninguna restricción en el número de certificados (tanto de validación extendida (EV) como estándar) asociados con la organización.
En este artículo se proporciona información general sobre los tipos de firma de código disponibles para los controladores y los requisitos asociados para esos controladores.
Para obtener más información sobre los requisitos de firma de controladores, consulte las páginas siguientes:
- Driver Signing Changes in Windows 10
- Driver Signing changes in Windows 10, version 1607
- Update on Sysdev EV Certificate requirement
Dónde obtener certificados de firma de código
Los certificados de firma de código se pueden adquirir en una de las siguientes autoridades de certificación:
- Certificado de firma de código de DigiCert
- Certificado de firma de código de Entrust
- Certificado de firma de código de GlobalSign
- Certificado de firma de código de SSL.com
Controladores firmados con certificado EV
La cuenta del panel de Centro de desarrollo de hardware debe tener al menos un certificado EV asociado para enviar archivos binarios para la firma de atestación o para enviar archivos binarios para la certificación con HLK.
Se aplican las reglas siguientes:
- El certificado EV registrado debe ser válido en el momento del envío.
- Aunque Microsoft recomienda firmar los envíos individuales con un certificado EV, puede firmar los envíos con un certificado de firma Authenticode que también esté registrado en su cuenta del Centro de partners.
- Todos los certificados deben ser SHA2 y estar firmados con el modificador de línea de comandos
/fd sha256de SignTool.
Si ya tiene un certificado EV aprobado de una autoridad de certificación, puede usarlo para establecer una cuenta del Centro de partners. Si no tiene un certificado EV, elija una de las entidades de certificación y siga sus instrucciones de compra.
Una vez que la entidad de certificación comprueba la información de contacto y se aprueba la compra del certificado, siga sus instrucciones para recuperar el certificado.
Controladores probados por HLK y firmados por el panel
Un controlador firmado del panel que ha superado las pruebas HLK funciona en Windows Vista y versiones posteriores, incluidas las ediciones de Windows Server. Las pruebas de HLK son el método recomendado para la firma de controladores, ya que firma un controlador para todas las versiones del sistema operativo. Los controladores probados por HLK demuestran que un fabricante prueba rigurosamente su hardware para cumplir todos los requisitos de Microsoft con respecto a la confiabilidad, la seguridad, la eficiencia energética, la capacidad de servicio y el rendimiento, para proporcionar una excelente experiencia de Windows. Las pruebas incluyen el cumplimiento de los estándares del sector y el cumplimiento de las especificaciones de Microsoft para características específicas de la tecnología, lo que ayuda a garantizar la instalación, la implementación, la conectividad y la interoperabilidad correctos. Para obtener información sobre cómo crear un controlador probado por HLK para el envío del panel, consulte Introducción a Windows HLK.
Controladores con firma de atestación de Windows 10 para escenarios de pruebas
La instalación de dispositivos Windows usa firmas digitales para comprobar la integridad de los paquetes de controladores y la identidad del publicador de software que proporciona los paquetes de controladores.
Solo con fines de prueba, puede enviar los controladores para la firma de atestación, lo que no requiere pruebas de HLK.
La firma de atestación tiene los siguientes requisitos y restricciones:
Los controladores firmados de atestación no se pueden publicar en Windows Update para audiencias comerciales. Para publicar un controlador en Windows Update para audiencias de comercio minorista, debe enviar el controlador a través del Programa de compatibilidad de hardware de Windows (WHCP). La publicación de controladores con firma de atestación en Windows Update con fines de prueba se puede realizar seleccionando las opciones CoDev o Test Registry Key / Surface SSRK.
La firma de atestación solo funciona en Windows 10 Desktop y versiones posteriores de Windows.
La firma de atestación admite el modo de kernel de Windows 10 Desktop y los controladores de modo de usuario. Aunque no es necesario que los controladores de modo de usuario hayan sido firmados por Microsoft para Windows 10, se puede usar el mismo proceso de atestación para los controladores de modo de usuario y de kernel. Para los controladores que se tienen que ejecutar en versiones anteriores de Windows, debe enviar registros de prueba de HLK/HCK para la certificación de Windows.
La firma de atestación no devuelve el nivel de PE adecuado para los archivos binarios de ELAM o Windows Hello PE. Estos archivos binarios deben probarse y enviarse como paquetes .hlkx para recibir los atributos de firma adicionales.
La firma de atestación requiere el uso de un certificado de validación extendida (EV) para enviar el controlador al Centro de partners (panel del Centro de desarrollo de hardware).
La firma de atestación requiere que los nombres de carpeta del controlador no contengan caracteres especiales, ninguna ruta de acceso a recursos compartidos de archivos UNC y que tenga menos de 40 caracteres.
Cuando un controlador recibe la firma de atestación, no está certificado por Windows. Una firma de atestación de Microsoft indica que Windows confía en el controlador. Pero dado que el controlador no se ha probado en HLK Studio, no hay garantías realizadas en torno a la compatibilidad, la funcionalidad, etc. Un controlador que recibe la firma de atestación no se puede publicar en audiencias comerciales a través de Windows Update. Si desea publicar un controlador para audiencias de comercio minorista, debe enviarlo a través del Programa de compatibilidad de hardware de Windows (WHCP).
DUA (Driver Update Acceptable) no admite controladores firmados mediante atestación.
Los siguientes archivos binarios y niveles de PE se pueden procesar por medio de atestación:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .xpi
- .xap
Para obtener información sobre cómo crear un controlador con firma de atestación para controladores de Windows 10 o posterior, consulte Firma de controladores de Windows 10 o posterior mediante atestación.
Controladores firmados de Windows Server
- Windows Server 2016 y versiones posteriores no aceptan envíos de firma de controladores y dispositivos atestiguados.
- El panel solo firma controladores de dispositivo y filtro que superan correctamente las pruebas de HLK.
- Windows Server 2016 y versiones posteriores solo cargan controladores firmados del panel que superan correctamente las pruebas de HLK.
Control de aplicaciones de Windows Defender
Las empresas pueden implementar una directiva para modificar los requisitos de firma de controladores mediante Windows 10 Enterprise Edition. El Control de aplicaciones de Windows Defender (WDAC) proporciona una directiva de integridad de código definida por la empresa, que se puede configurar para requerir al menos un controlador firmado por atestación. Para obtener más información sobre WDAC, consulte Planificación e introducción del proceso de implementación del Control de aplicaciones de Windows Defender.
Requisitos de firma de controladores de Windows
En la tabla siguiente se resumen los requisitos de firma de controladores para Windows:
| Versión | Firmado por panel de atestación | Firmado por panel con prueba de HLK superada | Con firma cruzada mediante un certificado SHA-1 emitido antes del 29 de julio de 2015 |
|---|---|---|---|
| Windows Vista | No | Sí | Sí |
| Windows 7 | No | Sí | Sí |
| Windows 8 / 8.1 | No | Sí | Sí |
| Windows 10 | Sí | Sí | No (a partir de Windows 10 1809) |
| Windows 10: DG habilitado | *Depende de la configuración | *Depende de la configuración | *Depende de la configuración |
| Windows Server 2008 R2 | No | Sí | Sí |
| Windows Server 2012 R2 | No | Sí | Sí |
| Windows Server >= 2016 | No | Sí | Sí |
| Windows Server >= 2016: DG habilitado | *Depende de la configuración | *Depende de la configuración | *Depende de la configuración |
| Windows IoT Enterprise | Sí | Sí | Sí |
| Windows IoT Enterprise: DG habilitado | *Depende de la configuración | *Depende de la configuración | *Depende de la configuración |
| Windows IoT Core(1) | Sí (no es obligatorio) | Sí (no es obligatorio) | Sí (la firma cruzada también funcionará para los certificados emitidos después del 29 de julio de 2015) |
*Depende de la configuración: con Windows 10 Enterprise Edition, las organizaciones pueden usar el Control de aplicaciones de Windows Defender (WDAC) para definir requisitos de firma personalizados. Para obtener más información sobre WDAC, consulte Planificación e introducción del proceso de implementación del Control de aplicaciones de Windows Defender.
(1) La firma de controladores es necesaria para los fabricantes que crean productos comerciales (es decir, para un propósito no de desarrollo) con IoT Core. Para obtener una lista de autoridades de certificación (CA) aprobadas, consulte Certificados cruzados para la firma de código de modo de kernel. Si el arranque seguro UEFI está habilitado, los controladores deben estar firmados.