ドライバー署名ポリシー

注意

Windows 10 バージョン 1607 以降では、開発ポータルによって署名されていない新しいカーネル モード ドライバーは読み込まれません。 ドライバーの署名を取得するには、まず Windows ハードウェア デベロッパー センター プログラムに登録します。 ダッシュボード アカウントを確立するには 、EV コード署名証明書 が必要であることに注意してください。

ポータルにドライバーを送信するには、さまざまな方法があります。 運用ドライバーの場合は、以下に説明するように HLK/HCK テスト ログを送信する必要があります。 Windows 10 クライアントのみのシステムでテストする場合は、HLK テストを必要としない 構成証明署名用にドライバーを提出できます。 または、「 新しいハードウェア 提出の作成」ページの説明に従って、テスト署名用にドライバーを提出することもできます。

例外

次のいずれかが該当する場合、クロス署名ドライバーは引き続き許可されます。

  • PC は以前のリリースの Windows から Windows 10 バージョン 1607 にアップグレードされました。
  • セキュア ブートは BIOS でオフになっています。
  • ドライバーは、2015 年 7 月 29 日より前に発行されたエンド エンティティ証明書で署名され、サポートされているクロス署名 CA にチェーンされました。

システムが正常に起動できないのを防ぐために、ブート ドライバーはブロックされませんが、プログラム互換性アシスタントによって削除されます。

Windows のクライアント バージョンのドライバーに署名する

Windows 10 のドライバーに署名するには、次の手順に従います。

  1. 認定する Windows 10 の各バージョンについて、そのバージョンの Windows HLK (ハードウェア ラボ キット) をダウンロードし、そのバージョンのクライアントに対して完全な証明書パスを実行します。 バージョンごとに 1 つのログが取得されます。
  2. 複数のログがある場合は、最新の HLK を使用して 1 つのログにマージします。
  3. ドライバーとマージされた HLK テスト結果を Windows ハードウェア デベロッパー センター ダッシュボード ポータルに送信します。

バージョン固有の詳細については、対象とする Windows バージョンの WHCP (Windows ハードウェア互換性プログラム) ポリシー を確認してください。

Windows 7、Windows 8、または Windows 8.1 のドライバーに署名するには、適切な HCK (ハードウェア認定キット) を使用します。 詳細については、 Windows ハードウェア認定キット のユーザー ガイドを参照してください。

以前のバージョンの Windows のドライバーに署名する

Windows 10 バージョン 1607 より前のバージョンでは、次の種類のドライバーでは、クロス署名のために Microsoft のクロス証明書と共に使用される Authenticode 証明書が必要です。

  • カーネル モード デバイス ドライバー
  • ユーザー モード のデバイス ドライバー
  • 保護されたコンテンツをストリーミングするドライバー。 これには、保護されたユーザー モード オーディオ (PUMA) と保護されたオーディオ パス (PAP) を使用するオーディオ ドライバーと、保護されたビデオ パス出力保護管理 (PVP-OPM) コマンドを処理するビデオ デバイス ドライバーが含まれます。 詳細については、「 保護されたメディア コンポーネントのコード署名」を参照してください。

バージョン別の署名要件

次の表は、クライアント オペレーティング システムのバージョンの署名ポリシーを示しています。

セキュア ブートは Windows Vista および Windows 7 には適用されないことに注意してください。

適用対象: Windows Vista、Windows 7;セキュア ブートがオフになっている Windows 8 以降 セキュア ブートが有効な Windows 8、Windows 8.1、Windows 10 バージョン 1507、1511 セキュア ブートがオンになっている Windows 10 バージョン 1607、1703、1709 セキュア ブートがオンになっている Windows 10 バージョン 1803 以降
アーキテクチャ: 64 ビットのみ、32 ビットに署名は必要ありません 64 ビット、32 ビット 64 ビット、32 ビット 64 ビット、32 ビット
署名が必要です。 埋め込みファイルまたはカタログ ファイル 埋め込みファイルまたはカタログ ファイル 埋め込みファイルまたはカタログ ファイル 埋め込みファイルまたはカタログ ファイル
署名アルゴリズム: SHA2 SHA2 SHA2 SHA2
証明 書: コード整合性によって信頼される標準ルート コード整合性によって信頼される標準ルート Microsoft ルート証明機関 2010、Microsoft ルート証明機関、Microsoft ルート証明機関 Microsoft ルート証明機関 2010、Microsoft ルート証明機関、Microsoft ルート証明機関

ドライバー コード署名に加えて、ドライバーをインストールするための PnP デバイスのインストール署名要件も満たす必要があります。 詳細については、「 プラグ アンド プレイ (PnP) デバイスのインストール署名要件」を参照してください。

ELAM ドライバーの署名については、「 マルウェア対策の早期起動」を参照してください。

関連項目