ドライバー署名ポリシー

Note

バージョン 1607 Windows 10以降、開発ポータルによって署名されていない新しいカーネル モード ドライバーは Windows によって読み込まれません。 ドライバーに署名するには、まず Windows ハードウェア デベロッパー センター プログラムに登録します。 ダッシュボード アカウントを確立するには、 EV コード署名証明書 が必要であることに注意してください。

ポータルにドライバーを送信するには、さまざまな方法があります。 運用ドライバーの場合は、次に説明するように HLK/HCK テスト ログを送信する必要があります。 Windows 10クライアントのみのシステムでテストする場合は、HLK テストを必要としない構成証明署名用のドライバーを送信できます。 または、「 新しいハードウェアの申請を作成 する」ページの説明に従って、テスト署名用のドライバーを送信することもできます。

例外

次のいずれかに該当する場合、クロス署名ドライバーは引き続き許可されます。

  • PC は Windows の以前のリリースからバージョン 1607 のWindows 10にアップグレードされました。
  • セキュア ブートは BIOS でオフになっています。
  • ドライバーは、サポートされているクロス署名 CA にチェーンする 2015 年 7 月 29 日より前に発行されたエンド エンティティ証明書で署名されました。

システムが正しく起動できないのを防ぐために、ブート ドライバーはブロックされませんが、プログラム互換性アシスタントによって削除されます。

Windows のクライアント バージョンのドライバーに署名する

Windows 10のドライバーに署名するには、次の手順に従います。

  1. 認定するWindows 10の各バージョンについて、そのバージョンの Windows HLK (Hardware Lab Kit) をダウンロードし、そのバージョンのクライアントに対して完全な証明書パスを実行します。 バージョンごとに 1 つのログが表示されます。
  2. 複数のログがある場合は、最新の HLK を使用して 1 つのログにマージします。
  3. ドライバーとマージされた HLK テスト結果を Windows ハードウェア デベロッパー センター ダッシュボード ポータルに送信します。

バージョン固有の詳細については、対象とする Windows バージョンの WHCP (Windows ハードウェア互換性プログラム) ポリシー を確認してください。

Windows 7、Windows 8、またはWindows 8.1のドライバーに署名するには、適切な HCK (ハードウェア認定キット) を使用します。 詳細については、「 Windows ハードウェア認定キット ユーザー ガイド」を参照してください。

以前のバージョンの Windows のドライバーに署名する

バージョン 1607 Windows 10より前のバージョンでは、次の種類のドライバーでは、クロス署名のために Microsoft のクロス証明書と共に使用される Authenticode 証明書が必要です。

  • カーネル モードのデバイス ドライバー
  • ユーザー モード デバイス ドライバー
  • 保護されたコンテンツをストリーミングするドライバー。 これには、保護されたユーザー モード オーディオ (PUMA) と保護されたオーディオ パス (PAP) を使用するオーディオ ドライバーと、保護されたビデオ パス出力保護管理 (PVP-OPM) コマンドを処理するビデオ デバイス ドライバーが含まれます。 詳細については、「 保護されたメディア コンポーネントのコード署名」を参照してください。

バージョン別の署名要件

次の表は、クライアント オペレーティング システムのバージョンの署名ポリシーを示しています。

セキュア ブートは Windows Vista および Windows 7 には適用されないことに注意してください。

適用対象: Windows Vista、Windows 7;セキュア ブートがオフになっているWindows 8+ セキュア ブートがオンのWindows 8、Windows 8.1、Windows 10、バージョン 1507、1511 Windows 10、セキュア ブートがオンのバージョン 1607、1703、1709 Windows 10、セキュア ブートがオンのバージョン 1803 以降
アーキテクチャ: 64 ビットのみ、32 ビットに署名は必要ありません 64 ビット、32 ビット 64 ビット、32 ビット 64 ビット、32 ビット
署名が必要: 埋め込みファイルまたはカタログ ファイル 埋め込みファイルまたはカタログ ファイル 埋め込みファイルまたはカタログ ファイル 埋め込みファイルまたはカタログ ファイル
署名アルゴリズム: Sha2 Sha2 Sha2 Sha2
証明 書: コードの整合性によって信頼される標準ルート コードの整合性によって信頼される標準ルート Microsoft Root Authority 2010、Microsoft Root Certificate Authority、Microsoft Root Authority Microsoft Root Authority 2010、Microsoft Root Certificate Authority、Microsoft Root Authority

ドライバー コード署名に加えて、ドライバーをインストールするための PnP デバイスインストール署名要件も満たす必要があります。 詳細については、「 プラグ アンド プレイ (PnP) デバイスのインストール署名要件」を参照してください。

ELAM ドライバーへの署名の詳細については、「 マルウェア対策の早期起動」を参照してください。

参照