Assinaturas digitais e instalação de dispositivo PnP (Windows Vista e posterior)

No Windows Vista e versões posteriores do Windows, a instalação do dispositivo Plug and Play (PnP) usa a assinatura digital do arquivo de catálogode um pacote de driver para fazer o seguinte:

• Verifique a identidade do editor do pacote de driver. O Windows usa a identidade para permitir que os usuários escolham se devem confiar no editor de um driver.

• Determine se o pacote de driver foi alterado depois que ele foi publicado.

A instalação do dispositivo PnP no Windows Vista e versões posteriores do Windows dão suporte aos seguintes tipos de assinaturas digitais para pacotes de driver:

• Tipos de assinatura que podem ser usados para pacotes de driver liberados para o público em geral:

  • Assinaturas geradas por uma autoridade de assinatura do Windows para:
    1. Pacotes de driver de caixa de entrada
    2. Pacotes de driver certificados e assinados por meio do WHQL (Windows Hardware Quality Labs)
    3. Atualizações de SE (Engenharia Sustentada do Windows).
  • Assinaturas que não são geradas por uma autoridade de assinatura do Windows, mas que estão em conformidade com os requisitos de assinatura de instalação do dispositivo PnP.

• Assinaturas para implantar pacotes de driver somente em ambientes de rede corporativa, que são criados por um certificado digital criado e gerenciado pela AC Enterprise. Informações detalhadas sobre como configurar uma AC Enterprise estão fora do escopo desta documentação.

  Para obter informações sobre como criar uma AC corporativa, consulte Práticas recomendadas de assinatura de código.

• Tipos de assinatura que podem ser usados internamente durante o desenvolvimento e teste de drivers:

  • Assinaturas geradas pelo programa de assinatura de teste do WHQL
  • Assinaturas geradas por um certificado de teste MakeCert
  • Assinaturas criadas por um certificado de teste comercial obtido de uma AC que é membro do Programa de Certificado Raiz da Microsoft
  • Assinaturas geradas por um certificado de teste de AUTORIDADE CORPORATIVA

O Windows Vista e versões posteriores do Windows incluem os seguintes recursos que oferecem suporte para assinaturas geradas por terceiros:

• Os administradores podem controlar quais editores de driver são confiáveis. O Windows Vista e versões posteriores do Windows instalam drivers de editores confiáveis sem solicitar. Ele nunca instala drivers de editores em que o administrador optou por não confiar.

• A política de assinatura de driver é sempre definida como Avisar. Isso elimina as opções Ignorar e Bloquear que estavam disponíveis no Windows Server 2003, Windows XP e Windows 2000. Um administrador deve sempre autorizar a instalação de drivers não assinados ou de um driver de um publicador que ainda não seja confiável.

• Todas as classes de configuração do dispositivo são tratadas igualmente. No Windows Server 2003, Windows XP e Windows 2000, os pacotes de driver que foram assinados pelo WHQL devem ter um arquivo INF que especifique uma classe de configuração de dispositivo definida em %SystemRoot%/inf/Certclas.inf. Caso contrário, o Windows tratará o pacote de driver como sem sinal.

• A partir do Windows Vista, quando há vários pacotes de driver compatíveis para escolher, o algoritmo de classificação que o sistema operacional usa para selecionar o melhor pacote de driver inclui pacotes de driver que têm assinaturas de terceiros.

  Esse algoritmo classifica os pacotes de driver da seguinte maneira:

  • Se a política de grupo AllSignersEqual estiver desabilitada, o sistema operacional classificará os pacotes de driver assinados com uma assinatura da Microsoft superior aos pacotes de driver assinados com uma assinatura de terceiros. Essa classificação ocorre mesmo se um pacote de driver assinado com uma assinatura de terceiros for, de todas as outras maneiras, uma correspondência melhor para um dispositivo.
  • Se a política de grupo AllSignersEqual estiver habilitada, o sistema operacional classificará todos os pacotes de driver assinados digitalmente igualmente.

  Nota A partir do Windows 7, a política de grupo AllSignersEqual é habilitada por padrão. No Windows Vista e no Windows Server 2008, a política de grupo AllSignersEqual é desabilitada por padrão. Os departamentos de TI podem substituir o comportamento de classificação padrão habilitando ou desabilitando a política de grupo AllSignersEqual .

Antes de instalar um pacote de driver, o Windows analisa a assinatura digital do pacote de driver . Se uma assinatura estiver presente, o Windows usará a assinatura para validar os arquivos no pacote de driver. Com base nos resultados dessa análise, o Windows categoriza a assinatura digital da seguinte maneira:

• Assinado por uma autoridade de assinatura do Windows. Esses pacotes de driver são incluídos na instalação padrão do Windows (drivers de caixa de entrada), assinados para lançamento pelo WHQL ou assinados pelo Windows SE.

• Assinado por um editor confiável. Esses pacotes de driver foram assinados por terceiros e o usuário optou explicitamente por sempre confiar em pacotes de driver assinados desse editor.

• Assinado por um editor não confiável. Esses pacotes de driver foram assinados por terceiros e o usuário optou explicitamente por nunca confiar em pacotes de driver desse editor.

• Assinado por um editor de confiança desconhecida. Esses pacotes de driver foram assinados por terceiros e o usuário não indicou se deseja confiar nesse editor.

• Alterado. Esses pacotes de driver são assinados, mas o Windows detectou que pelo menos um arquivo no pacote de driver foi alterado depois que o pacote foi assinado.

• Unsigned. Esses pacotes de driver não são assinados ou têm uma assinatura inválida. As assinaturas válidas devem ser criadas usando um certificado que foi emitido por uma AC confiável.

A partir do Windows Vista, quando o sistema operacional instala um pacote de driver em um computador pela primeira vez, ele pré-instala ou fases, o driver no repositório de driver. Posteriormente, o Windows instalará silenciosamente um pacote de driver para um dispositivo correspondente usando a cópia do pacote de driver no repositório de driver. A interação do usuário não é necessária quando o Windows instala um pacote de driver pré-instalado para um dispositivo.

Se o Windows pré-instalará um pacote de driver depende da categoria de assinatura, das credenciais do usuário e da interação do usuário, da seguinte maneira:

• Assinado por uma autoridade de assinatura do Windows ou um editor confiável. O Windows pré-instala silenciosamente o pacote de driver para administradores do sistema e usuários padrão (usuários sem credenciais de administrador). O Windows não exibe nenhuma caixa de diálogo do usuário.

• Assinado por um editor não confiável. O Windows não pré-instala o pacote de driver.

• Assinado por um editor de confiança desconhecida. O Windows exibe uma caixa de diálogo para um administrador do sistema que informa ao administrador que o editor do pacote de driver ainda não é confiável. A caixa de diálogo fornece ao administrador a opção de instalar o pacote de driver e a opção de sempre confiar no publicador. O Windows não exibe uma caixa de diálogo para um usuário padrão e não pré-instala o pacote de driver para o usuário padrão.

• Alterado ou sem sinal. O Windows exibe uma caixa de diálogo que avisa adequadamente um administrador do sistema de que a assinatura não pôde ser verificada. A caixa de diálogo fornece ao administrador a opção de instalar ou não o pacote de driver. O Windows não exibe uma caixa de diálogo para um usuário padrão e não pré-instala o pacote de driver para um usuário padrão.

Para obter mais informações sobre assinaturas de driver e instalação, consulte Categorias de assinatura e instalação do driver.