内核模式驱动程序的安全启动功能签名要求
平台
客户端 - Windows 8
服务器 - Windows Server 2012
说明
在Windows 8和Windows Server 2012(包括 WinPE)中,内核已被锁定,以防止启动或根工具包引入的恶意软件绕过已签名驱动程序Windows操作系统安全要求。
此更改会影响支持统一可扩展固件接口 (UEFI) 安全启动的设备的所有内核模式驱动程序;对于客户端计算机Windows 8认证,对于服务器,需要 UEFI 安全启动。 它不会影响用户模式驱动程序。
内核模式驱动程序的标准开发涉及使用内核模式调试或启动配置数据 (BCD) <测试签名> 设置。 当安全启动处于打开状态时,将禁用这两个。
表现
如果内核模式驱动程序未由受信任的证书颁发机构 (CA) 正确签名,则不会运行这些驱动程序。 操作系统不允许不受信任的驱动程序运行,不允许使用内核调试和测试签名等标准机制。
缓解措施
若要测试驱动程序,必须在 BIOS 中禁用安全启动,并满足其他测试签名要求, (请参阅以下) 。
在更广泛地分发驱动程序时,它们必须由受信任的 CA 正确签名。
资源
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈