Firme digitali e installazione del dispositivo PnP (Windows Vista e versioni successive)

In Windows Vista e versioni successive di Windows, l'installazione del dispositivo Plug and Play (PnP) usa la firma digitale del file di catalogo di un pacchetto driver per eseguire le operazioni seguenti:

• Verificare l'identità del server di pubblicazione del pacchetto driver. Windows usa l'identità per consentire agli utenti di scegliere se considerare attendibile il server di pubblicazione di un driver.

• Determinare se il pacchetto driver è stato modificato dopo la pubblicazione.

L'installazione del dispositivo PnP in Windows Vista e versioni successive di Windows supporta i tipi di firme digitali seguenti per i pacchetti driver:

• Tipi di firma che possono essere usati per i pacchetti driver rilasciati al pubblico generale:

  • Firme generate da un'autorità di firma di Windows per:
    1. Pacchetti driver in arrivo
    2. Pacchetti driver certificati e firmati tramite Windows Hardware Quality Labs (WHQL)
    3. Aggiornamenti di Windows Sustained Engineering (SE).
  • Le firme che non vengono generate da un'autorità di firma di Windows, ma sono conformi ai requisiti di firma dell'installazione del dispositivo PnP.

• Firme per la distribuzione di pacchetti driver solo all'interno di ambienti di rete aziendali, creati da un certificato digitale creato e gestito da Enterprise CA. Informazioni dettagliate su come configurare una CA Enterprise non rientrano nell'ambito di questa documentazione.

  Per informazioni su come creare una CA aziendale, vedere Procedure consigliate per la firma del codice.

• Tipi di firma che possono essere usati in-house durante lo sviluppo e il test dei driver:

  • Firme generate dal programma di firma di test WHQL
  • Firme generate da un certificato di test MakeCert
  • Firme create da un certificato di test commerciale ottenuto da una CA membro del Programma certificato radice Microsoft
  • Firme generate da un certificato di test ca enterprise

Windows Vista e versioni successive di Windows includono le funzionalità seguenti che forniscono supporto per le firme generate da terze parti:

• Gli amministratori possono controllare quali server di pubblicazione driver sono attendibili. Windows Vista e versioni successive di Windows installa i driver dai server di pubblicazione attendibili senza richiedere alcuna richiesta. Non installa mai i driver dagli editori che l'amministratore ha scelto di non considerare attendibile.

• I criteri di firma driver sono sempre impostati su Avvisa. Questa opzione elimina le opzioni Ignora e Blocca disponibili in Windows Server 2003, Windows XP e Windows 2000. Un amministratore deve sempre autorizzare l'installazione di driver non firmati o un driver da un server di pubblicazione non ancora attendibile.

• Tutte le classi di configurazione del dispositivo vengono trattate ugualmente. In Windows Server 2003, Windows XP e Windows 2000, i pacchetti driver firmati da WHQL devono avere un file INF che specifica una classe di installazione del dispositivo definita in %SystemRoot%/inf/Certclas.inf. In caso contrario, Windows considera il pacchetto driver come non firmato.

• A partire da Windows Vista, quando sono disponibili diversi pacchetti driver compatibili da scegliere, l'algoritmo di classificazione usato dal sistema operativo per selezionare il pacchetto driver migliore include pacchetti driver con firme di terze parti.

  Questo algoritmo classifica i pacchetti driver nel modo seguente:

  • Se i criteri di gruppo AllSignersEqual sono disabilitati, il sistema operativo classifica i pacchetti driver firmati con una firma Microsoft superiore ai pacchetti driver firmati con una firma di terze parti. Questa classificazione si verifica anche se un pacchetto driver firmato con una firma di terze parti è, in tutti gli altri modi, una corrispondenza migliore per un dispositivo.
  • Se i criteri di gruppo AllSignersEqual sono abilitati, il sistema operativo classifica tutti i pacchetti driver con firma digitale allo stesso modo.

  Nota A partire da Windows 7, i criteri di gruppo AllSignersEqual sono abilitati per impostazione predefinita. In Windows Vista e Windows Server 2008 i criteri di gruppo AllSignersEqual sono disabilitati per impostazione predefinita. I reparti IT possono ignorare il comportamento di classificazione predefinito abilitando o disabilitando i criteri di gruppo AllSignersEqual .

Prima di installare un pacchetto driver, Windows analizza la firma digitale del pacchetto driver . Se è presente una firma, Windows usa la firma per convalidare i file nel pacchetto driver. In base ai risultati di questa analisi, Windows classifica la firma digitale come indicato di seguito:

• Firmato da un'autorità di firma di Windows. Questi pacchetti driver sono inclusi nell'installazione predefinita di Windows (driver in arrivo), firmati per la versione da WHQL o firmati da Windows SE.

• Firmato da un editore attendibile. Questi pacchetti driver sono stati firmati da una terza parte e l'utente ha scelto in modo esplicito di considerare attendibili i pacchetti driver firmati da questo server di pubblicazione.

• Firmato da un editore non attendibile. Questi pacchetti driver sono stati firmati da una terza parte e l'utente ha scelto in modo esplicito di non considerare attendibili i pacchetti driver da questo server di pubblicazione.

• Firmato da un editore di attendibilità sconosciuta. Questi pacchetti driver sono stati firmati da una terza parte e l'utente non ha indicato se considerare attendibile questo editore.

• Alterato. Questi pacchetti driver sono firmati, ma Windows ha rilevato che almeno un file nel pacchetto driver è stato modificato dopo la firma del pacchetto.

• Unsigned. Questi pacchetti driver non sono firmati o hanno una firma non valida. Le firme valide devono essere create usando un certificato rilasciato da una CA attendibile.

A partire da Windows Vista, quando il sistema operativo installa un pacchetto driver in un computer per la prima volta, preinstalla o fasi, il driver nell'archivio driver. Windows installerà in modo automatico un pacchetto driver per un dispositivo corrispondente usando la copia del pacchetto driver nell'archivio driver. L'interazione utente non è necessaria quando Windows installa un pacchetto driver preinstallato per un dispositivo.

Se Windows preinstallerà un pacchetto driver dipende dalla categoria di firme, dalle credenziali utente e dall'interazione dell'utente, come indicato di seguito:

• Firmato da un'autorità di firma di Windows o da un editore attendibile. Windows preinstalla in modo automatico il pacchetto driver per gli amministratori di sistema e gli utenti standard (utenti senza credenziali di amministratore). Windows non visualizza alcuna finestra di dialogo utente.

• Firmato da un editore non attendibile. Windows non installa il pacchetto driver.

• Firmato da un editore di attendibilità sconosciuta. Windows visualizza una finestra di dialogo a un amministratore di sistema che informa l'amministratore che l'autore del pacchetto driver non è ancora attendibile. La finestra di dialogo fornisce all'amministratore l'opzione per installare il pacchetto driver e l'opzione per considerare sempre attendibile il server di pubblicazione. Windows non visualizza una finestra di dialogo a un utente standard e non installa il pacchetto driver per l'utente standard.

• Modificato o non firmato. Windows visualizza una finestra di dialogo che avvisa in modo appropriato un amministratore di sistema che non è stato possibile verificare la firma. La finestra di dialogo fornisce all'amministratore l'opzione da installare o meno per installare il pacchetto driver. Windows non visualizza una finestra di dialogo per un utente standard e non preinstalla il pacchetto driver per un utente standard.

Per altre informazioni sulle firme e l'installazione dei driver, vedere Categorie di firme e installazione driver.