Signatures incorporées dans un fichier de pilote

Dans les versions 64 bits de Windows Vista et les versions ultérieures de Windows, les exigences de signature de code en mode noyau indiquent qu’un pilote de démarrage en mode noyau publié doit avoir une signature SPC (Software Publisher Certificate) incorporée. Une signature incorporée n’est pas requise pour les pilotes qui ne sont pas des pilotes de démarrage.

Notes

Windows 10 pour les éditions de bureau (Famille, Professionnel, Entreprise et Éducation) et Windows Server 2016 pilotes en mode noyau doivent être signés par le tableau de bord du Centre de développement matériel Windows, qui nécessite un certificat EV. Pour plus d’informations sur ces modifications, consultez Modifications de la signature des pilotes dans Windows 10.

Le fait d’avoir une signature incorporée permet de gagner beaucoup de temps au démarrage du système, car le chargeur système n’a pas besoin de localiser le fichier catalogue pour le pilote au démarrage du système. Un ordinateur classique peut avoir de nombreux fichiers catalogue différents dans le magasin racine du catalogue. La recherche du fichier catalogue approprié pour vérifier l’empreinte numérique d’un fichier de pilote peut nécessiter beaucoup de temps.

En plus de l’exigence de signature au moment du chargement qui est appliquée par la stratégie de signature de code en mode noyau, l’installation de l’appareil Plug-and-Play (PnP) applique également une exigence de signature au moment de l’installation. Pour respecter les exigences de signature d’installation d’appareil PnP de Windows Vista et des versions ultérieures, un package de pilotes pour un appareil PnP doit avoir un fichier catalogue signé.

Les signatures incorporées n’interfèrent pas avec la signature d’un fichier catalogue, car les empreintes qui sont contenues dans un fichier catalogue et l’empreinte dans une signature incorporée excluent sélectivement la partie signature du fichier de pilote.

Les fichiers de pilote sont signés à l’aide de l’outil SignTool .