Внедренные подписи в файле драйвера

В 64-разрядных версиях Windows Vista и более поздних версиях Windows требования к подписи кода в режиме ядра утверждают, что выпущенный драйвер запуска в режиме ядра должен иметь внедренную подпись сертификата издателя программного обеспечения (SPC). Внедренная сигнатура не требуется для драйверов, которые не являются загрузочными драйверами.

Примечание

Windows 10 для настольных версий (Домашняя, Pro, Корпоративная и Для образовательных учреждений) и Windows Server 2016 драйверов в режиме ядра должны быть подписаны информационной панелью Центра разработки оборудования Windows, для которой требуется сертификат EV. Дополнительные сведения об этих изменениях см. в статье Изменения подписывания драйверов в Windows 10.

Наличие внедренной сигнатуры значительно экономит время во время запуска системы, так как системный загрузчик не должен находить файл каталога для драйвера при запуске системы. Типичный компьютер может иметь много разных файлов каталога в корневом хранилище каталога. Поиск правильного файла каталога для проверки отпечатка файла драйвера может занять значительное время.

Помимо требования к подписи во время загрузки, которое применяется политикой подписывания кода в режиме ядра, установка устройства Plug and Play (PnP) также применяет требование подписывания во время установки. В соответствии с требованиями к подписи установки устройства PnP в Windows Vista и более поздних версиях Windows пакет драйверов для устройства PnP должен иметь подписанный файл каталога.

Внедренные сигнатуры не мешают подписи файла каталога, так как отпечатки, содержащиеся в файле каталога, и отпечаток во внедренной сигнатуре выборочно исключают часть сигнатуры файла драйвера.

Файлы драйверов подписываются с помощью средства SignTool .