Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano różne oferty podpisywania sterowników dostępne w Centrum Rozwoju Sprzętu. Artykuł zawiera również zalecenia dotyczące najlepszych rozwiązań.
Laboratorium Sprzętowe przetestowało i podpisało sterowniki dla pulpitu nawigacyjnego
Podpisany sterownik pulpitu nawigacyjnego, który przeszedł testy Hardware Lab Kit (HLK) działa na Windows Vista i nowszych, w tym Windows Server wydaniach. Testowanie HLK jest zalecaną metodą podpisywania sterowników, ponieważ podpisuje sterownik dla wszystkich wersji systemu operacyjnego.
Przetestowane sterowniki HLK pokazują, że producent rygorystycznie testuje swój sprzęt, aby spełnić wszystkie wymagania Microsoft dotyczące niezawodności, bezpieczeństwa, wydajności zasilania, możliwości obsługi i wydajności. Testowanie obejmuje zgodność ze standardami branżowymi i zgodność z Microsoft specyfikacjami funkcji specyficznych dla technologii. Takie testowanie pomaga zapewnić poprawną instalację, wdrażanie, łączność i współdziałanie.
Aby dowiedzieć się, jak utworzyć przetestowany sterownik HLK na potrzeby przesyłania pulpitu nawigacyjnego, zobacz Windows Wprowadzenie do HLK.
Zaświadczenie podpisanych sterowników na potrzeby scenariuszy testowania
Windows instalacja urządzenia używa podpisów cyfrowych do weryfikowania integralności pakietów sterowników i tożsamości wydawcy oprogramowania, który udostępnia pakiety sterowników.
Tylko do celów testowych można przesyłać sterowniki do podpisywania potwierdzającego, bez potrzeby testowania HLK.
Podpisywanie zaświadczania ma następujące ograniczenia i wymagania:
Zaświadczania podpisanych kierowców nie można opublikować w Windows Update dla odbiorców detalicznych. Aby opublikować sterownik w usłudze Windows Update dla odbiorców detalicznych, musisz przesłać sterownik za pośrednictwem Programu zgodności sprzętu Windows. Publikowanie sterowników z podpisem atestacyjnym do Windows Update w celach testowych jest możliwe poprzez wybranie opcji CoDev lub Test Registry Key/Surface SSRK.
Podpisywanie zaświadczania działa tylko w programie Windows 10 Desktop i nowszych wersjach Windows.
Podpisywanie zaświadczania obsługuje tryb jądra Windows Desktop i sterowniki trybu użytkownika. W przypadku sterowników, które muszą działać w poprzednich wersjach Windows, należy przekazać dzienniki testowe HLK/HCK na potrzeby certyfikacji systemu Windows.
Podpisywanie potwierdzające nie zwraca właściwego poziomu plików wykonywalnych PE dla wczesnego uruchamiania ochrony antymalware (ELAM) ani dla plików wykonywalnych PE Windows Hello. Te pliki binarne muszą być testowane i przesyłane jako pakiety hlkx, aby otrzymywać dodatkowe atrybuty podpisu.
Podpisywanie zaświadczania wymaga użycia certyfikatu rozszerzonej weryfikacji w celu przesłania sterownika do Centrum partnerskiego (pulpitu nawigacyjnego Centrum deweloperów sprzętu).
Podpisywanie potwierdzenia wymaga, aby nazwy folderów sterownika nie zawierały znaków specjalnych ani ścieżek udziału plików UNC. Nazwy folderów sterowników muszą mieć długość mniej niż 40 znaków.
Gdy sterownik otrzymuje podpis potwierdzający, nie jest certyfikowany przez Windows. Sygnatura zaświadczania z Microsoft wskazuje, że Windows ufa sterownikowi. Jednak ponieważ sterownik nie jest testowany w programie HLK Studio, nie ma żadnych gwarancji dotyczących zgodności ani funkcjonalności.
DuA (aktualizacja sterownika akceptowalna) nie obsługuje zaświadczania podpisanych sterowników.
Następujące poziomy PE i pliki binarne mogą być przetwarzane za pośrednictwem poświadczania:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .Xpi
- .xap
Aby uzyskać więcej informacji, zobacz Podpisywanie uwierzytelniające sterowników Windows.
Podpisane sterowniki przedprodukcyjne
Podpisywanie przedprodukcyjne jest dostępne dla partnerów podczas wczesnego opracowywania i walidacji. Podpisane sterowniki przedprodukcyjne umożliwiają partnerom testowanie plików binarnych sterowników w systemach, w których bezpieczny rozruch pozostaje włączony.
Domyślnie te sterowniki nie są zaufane w systemach detalicznych. Zamiast tego ładują się tylko na urządzeniach, które są wyraźnie skonfigurowane, aby ufać podpisowi testowemu. Ta specyfikacja umożliwia testowanie o wyższej wierności, w tym zgodność z bezpiecznym rozruchem, przy jednoczesnym zapewnieniu, że nie można szeroko wdrażać niedokończonych lub niewalwalonych sterowników.
Obsługiwane scenariusze
Możesz rozważyć użycie podpisywania przedprodukcyjnego, gdy partnerzy muszą:
Zweryfikuj wczesne kompilacje sterowników, które nie są jeszcze gotowe do przesłania WHCP/HLK.
Przeprowadź testy uruchomienia i współrozwoju z włączonym Bezpiecznym Rozruchem.
Testowanie interakcji funkcji zabezpieczeń systemu operacyjnego, takich jak integralność kodu oparta na funkcji Hypervisor (HVCI) i integralność kodu trybu jądra/użytkownika, w kontrolowanym środowisku.
Zgodność konfiguracji systemu operacyjnego
Podczas aprowizacji urządzenia przy użyciu konfiguracji podpisywania przedprodukcyjnego:
Instalacja i ładowanie sterowników są obsługiwane z włączonym bezpiecznym rozruchem.
Funkcja HVCI, integralność kodu trybu jądra i integralność kodu trybu użytkownika pozostają obsługiwane, podobnie jak w przypadku konfiguracji zaufanych dla handlu detalicznego i zaświadczania.
Sterowniki nie ładują się w systemach handlowych, chyba że te systemy są jawnie skonfigurowane do zaufania podpisowi przedprodukcyjnemu.
Obsługiwane atrybuty podpisu sterownika
Następujące atrybuty podpisu sterownika są obsługiwane w przypadku podpisywania przedprodukcyjnego: ELAM, HalExt, PETrust, DRM i Windows Hello.
Aprowizowanie i przesyłanie
Aby korzystać z podpisywania przedprodukcyjnego, partnerzy muszą skonfigurować swoje urządzenia testowe, żeby ufały podpisowi przedprodukcyjnemu. Aby uzyskać szczegółowe instrukcje aprowizacji, w tym wymagane zasady i narzędzia bezpiecznego rozruchu, zobacz Jak przetestować sterowniki przedprodukcyjne z włączonym bezpiecznym rozruchem.
Partnerzy mogą tworzyć i zarządzać zgłoszeniami przedprodukcyjnymi przy użyciu interfejsów API Microsoft Hardware Dev Center. Aby uzyskać szczegółowe informacje dotyczące kroków przesyłania i zarządzania pakietami, zobacz Zarządzanie przesyłkami do podpisów przedprodukcyjnych.
Podpisane sterowniki Windows Server
Zapoznaj się z następującymi ograniczeniami sterowników podpisanych dla Windows Server:
Windows Server 2016 i nowsze nie akceptuje zaświadczanych zgłoszeń urządzeń i sterowników filtru.
Pulpit nawigacyjny podpisuje tylko sterowniki urządzeń i filtrów, które pomyślnie przechodzą testy HLK.
Windows Server 2016 i nowsze ładuje tylko podpisane sterowniki pulpitu nawigacyjnego, które pomyślnie przeszły testy HLK.
kontrola aplikacji Windows Defender
W przypadku wersji Windows 10 Enterprise przedsiębiorstwa mogą wprowadzać polityki w celu zmiany wymagań dotyczących podpisywania sterowników. Windows Defender Application Control (WDAC) udostępnia zasady integralności kodu zdefiniowane przez przedsiębiorstwo, które można skonfigurować tak, aby wymagać co najmniej sterownika ze znakiem zaświadczania. Aby uzyskać więcej informacji na temat usługi WDAC, zobacz Wdrażanie zasad kontroli aplikacji dla firm.
wymagania dotyczące podpisywania sterowników Windows
Poniższa tabela zawiera podsumowanie wymagań dotyczących podpisywania sterowników dla Windows.
| wersja | Podpisany panel poświadczeń | Test HLK zakończył się pomyślnie podpisanym pulpitem nawigacyjnym | Podpisane krzyżowo przy użyciu certyfikatu SHA-1 wystawionego przed 29 lipca 2015 r. |
|---|---|---|---|
| Windows Vista | Nie. | Yes | Yes |
| Windows 7 | Nie. | Yes | Yes |
| Windows 8 / 8.1 | Nie. | Yes | Yes |
| Windows 10 | Yes | Yes | Nie (od Windows 10 1809) |
| Windows 10 — włączona DG | *Zależne od konfiguracji | *Zależne od konfiguracji | *Zależne od konfiguracji |
| Windows Server 2008 R2 | Nie. | Yes | Yes |
| Windows Server 2012 R2 | Nie. | Yes | Yes |
| Windows Server >= 2016 | Nie. | Yes | Yes |
| Windows Server >= 2016 – DG włączone | *Zależne od konfiguracji | *Zależne od konfiguracji | *Zależne od konfiguracji |
| Windows IoT Enterprise | Yes | Yes | Yes |
| Windows IoT Enterprise — DG włączony | *Zależne od konfiguracji | *Zależne od konfiguracji | *Zależne od konfiguracji |
| Windows IoT Core(1) | Tak (nie jest to wymagane) | Tak (nie jest to wymagane) | Tak (podpisywanie krzyżowe działa również w przypadku certyfikatów wystawionych po 29 lipca 2015 r.) |
*Zależne od konfiguracji — w przypadku wersji Windows 10 Enterprise organizacje mogą używać usługi WDAC do definiowania niestandardowych wymagań dotyczących podpisywania.
Podpisywanie sterowników jest wymagane dla producentów tworzących produkty detaliczne (tj. do celów innych niż rozwojowe) przy użyciu IoT Core. Aby uzyskać listę zatwierdzonych urzędów certyfikacji, zobacz Cross-Certificates for Kernel Mode Code Signing. Jeśli bezpieczny rozruch UEFI jest włączony, należy użyć podpisanych sterowników.