驱动程序文件中嵌入的签名

在 64 位版本的 Windows Vista 和更高版本的 Windows 中,内核模式代码签名要求规定已发布的内核模式 启动驱动程序 必须具有嵌入式 软件发布者证书 (SPC) 签名。 对于不是启动启动驱动程序的驱动程序,不需要嵌入签名。

注意

(家庭版、专业版、企业版和教育版的桌面版Windows 10,) 和Windows Server 2016内核模式驱动程序必须由 Windows 硬件开发人员中心仪表板签名,该仪表板需要 EV 证书。 有关这些更改的详细信息,请参阅 Windows 10 中的驱动程序签名更改

使用嵌入式签名可在系统启动期间节省大量时间,因为系统加载程序无需在系统启动时查找驱动程序的 目录文件 。 典型的计算机可能在目录根存储中具有许多不同的目录文件。 查找正确的目录文件以验证驱动程序文件的指纹可能需要很长时间。

除了内核模式代码签名策略强制执行的加载时签名要求外,即插即用 (PnP) 设备安装还强制实施安装时签名要求。 为了符合 Windows Vista 和更高版本的 Windows 的 PnP 设备安装签名要求 ,PnP 设备的 驱动程序包 必须具有已签名的目录文件。

嵌入签名不会干扰目录文件的签名,因为目录文件中包含的指纹和嵌入签名中的指纹有选择地排除驱动程序文件的签名部分。

驱动程序文件是使用 SignTool 工具签名的。