Политика подписывания драйверов

Примечание

Начиная с Windows 10 версии 1607, Windows не будет загружать новые драйверы в режиме ядра, которые не подписаны порталом разработки. Чтобы получить подпись драйвера, сначала зарегистрируйтесь в программе Центра разработки оборудования для Windows. Обратите внимание, что для создания учетной записи панели мониторинга требуется сертификат подписи кода EV .

Существует множество различных способов отправки драйверов на портал. Для рабочих драйверов следует отправлять журналы тестирования HLK/HCK, как описано ниже. Для тестирования в Windows 10 клиентских системах можно отправить драйверы для подписывания аттестации, которая не требует тестирования HLK. Вы также можете отправить драйвер для тестовой подписи, как описано на странице Создание новой отправки оборудования .

Исключения

Драйверы с перекрестной подписью по-прежнему разрешены, если выполняется одно из следующих действий:

  • Компьютер был обновлен с предыдущего выпуска Windows до Windows 10 версии 1607.
  • Безопасная загрузка отключена в BIOS.
  • Драйверы были подписаны сертификатом конечной сущности, выданным до 29 июля 2015 года, который связан с поддерживаемым перекрестным ЦС.

Чтобы предотвратить правильную загрузку систем, загрузочные драйверы не будут блокироваться, но они будут удалены помощником по совместимости программ.

Подписывание драйвера для клиентских версий Windows

Чтобы подписать драйвер для Windows 10, выполните следующие действия.

  1. Для каждой версии Windows 10, которую вы хотите сертифицировать, скачайте windows HLK (комплект аппаратной лаборатории) для этой версии и выполните полный проход сертификата для клиента для этой версии. Вы получите один журнал для каждой версии.
  2. Если у вас несколько журналов, объедините их в один журнал с помощью последнего HLK.
  3. Отправьте драйвер и объединенные результаты теста HLK на портал информационной панели Центра разработчиков оборудования Windows.

Сведения о конкретных версиях см. в политике WHCP (программа совместимости оборудования Windows) для версий Windows, на которые вы хотите ориентироваться.

Чтобы подписать драйвер для Windows 7, Windows 8 или Windows 8.1, используйте соответствующий комплект HCK (комплект сертификации оборудования). Дополнительные сведения см. в руководстве пользователя комплекта сертификации оборудования Windows.

Подписывание драйвера для более ранних версий Windows

До Windows 10 версии 1607 для следующих типов драйверов требуется сертификат Authenticode, используемый вместе с кросс-сертификатом Майкрософт для перекрестной подписи:

  • Драйверы устройств в режиме ядра
  • Драйверы устройств в пользовательском режиме
  • Драйверы, выполняющие потоковую передачу защищенного содержимого. Сюда входят аудиодрайверы, использующие защищенный звук в пользовательском режиме (PUMA) и защищенный звуковой путь (PAP), а также драйверы видеоустройств, обрабатывающие защищенные команды управления защитой вывода видеопуть-выход (PVP-OPM). Дополнительные сведения см. в разделе Подписывание кода для компонентов защищенного носителя.

Требования к подписи по версиям

В следующей таблице показаны политики подписывания для версий клиентских операционных систем.

Обратите внимание, что безопасная загрузка не применяется к Windows Vista и Windows 7.

Область применения: Windows Vista, Windows 7; Windows 8+ с отключенной безопасной загрузкой Windows 8, Windows 8.1, Windows 10, версии 1507, 1511 с безопасной загрузкой Windows 10 версии 1607, 1703, 1709 с безопасной загрузкой Windows 10 версии 1803 и более поздних версий с безопасной загрузкой
Архитектуры: Только 64-разрядная версия, для 32-разрядной версии не требуется подпись 64-разрядная, 32-разрядная версия 64-разрядная, 32-разрядная версия 64-разрядная, 32-разрядная версия
Требуется подпись: Внедренный файл или файл каталога Внедренный файл или файл каталога Внедренный файл или файл каталога Внедренный файл или файл каталога
Алгоритм подписи: SHA2 SHA2 SHA2 SHA2
Сертификат: Стандартные корневые метры, которым доверяет целостность кода Стандартные корневые метры, которым доверяет целостность кода Microsoft Root Authority 2010, Microsoft Root Certificate Authority, Microsoft Root Authority Microsoft Root Authority 2010, Microsoft Root Certificate Authority, Microsoft Root Authority

Помимо подписывания кода драйвера, необходимо также соответствовать требованиям к подписи установки устройства PnP для установки драйвера. Дополнительные сведения см. в разделе Требования к подписыванием для установки устройства Plug and Play (PnP).

Сведения о подписи драйвера ELAM см. в статье Ранний запуск антивредоносного ПО.

См. также: