Firmas incrustadas en un archivo de controlador

En versiones de 64 bits de Windows Vista y versiones posteriores de Windows, los requisitos de firma de código en modo kernel establecen que un controlador de arranque en modo kernel publicado debe tener una firma insertada del certificado de publicador de software (SPC). No se requiere una firma incrustada para los controladores que no son controladores de arranque.

Nota

Windows 10 para las ediciones de escritorio (Home, Pro, Enterprise y Education) y Windows Server 2016 controladores en modo kernel deben estar firmados por el Panel del Centro de desarrollo de hardware de Windows, que requiere un certificado EV. Para obtener más información sobre estos cambios, consulta Cambios de firma de controladores en Windows 10.

Tener una firma insertada ahorra mucho tiempo durante el inicio del sistema porque no es necesario que el cargador del sistema busque el archivo de catálogo del controlador al iniciar el sistema. Un equipo típico podría tener muchos archivos de catálogo diferentes en el almacén raíz del catálogo. La búsqueda del archivo de catálogo correcto para comprobar la huella digital de un archivo de controlador puede requerir una cantidad considerable de tiempo.

Además del requisito de firma en tiempo de carga que aplica la directiva de firma de código en modo kernel, la instalación de dispositivos de Plug and Play (PnP) también exige un requisito de firma en tiempo de instalación. Para cumplir los requisitos de firma de instalación de dispositivos PnP de Windows Vista y versiones posteriores de Windows, un paquete de controladores para un dispositivo PnP debe tener un archivo de catálogo firmado.

Las firmas incrustadas no interfieren con la firma de un archivo de catálogo porque las huellas digitales contenidas en un archivo de catálogo y la huella digital de una firma incrustada excluyen selectivamente la parte de firma del archivo de controlador.

Los archivos de controlador se firman mediante la herramienta SignTool .