共用方式為


驅動程式簽署原則

注意

從 1607 版Windows 10開始,Windows 將不會載入任何未由開發人員入口網站簽署的新核心模式驅動程式。 若要簽署驅動程式,請先 註冊 Windows 硬體開發人員中心計畫。 請注意,需要 EV 程式碼簽署憑證 才能建立儀表板帳戶。

有許多不同方式可將驅動程式提交至入口網站。 針對生產驅動程式,您應該提交 HLK/HCK 測試記錄,如下所述。 若要在僅限用戶端系統上測試Windows 10,您可以提交驅動程式以進行證明簽署,這不需要 HLK 測試。 或者,您可以提交驅動程式以進行測試簽署,如 建立新的硬體提交 頁面所述。

例外狀況

如果下列任一項成立,仍允許交叉簽署的驅動程式:

  • 電腦已從舊版 Windows 升級至 Windows 10 1607 版。
  • BIOS 中的安全開機已關閉。
  • 驅動程式已使用 2015 年 7 月 29 日之前發行的終端實體憑證簽署,該憑證會鏈結至支援的交叉簽署 CA。

為了避免系統無法正確開機,不會封鎖開機驅動程式,但程式相容性小幫手將會移除它們。

簽署適用于 Windows 用戶端版本的驅動程式

若要簽署適用于 Windows 10 的驅動程式,請遵循下列步驟:

  1. 針對您想要認證的每個Windows 10版本,請下載該版本的 Windows HLK (Hardware Lab Kit) ,並針對該版本的用戶端執行完整的憑證傳遞。 每個版本都會有一個記錄檔。
  2. 如果您有多個記錄,請使用最新的 HLK 將它們合併成單一記錄。
  3. 將驅動程式和合併的 HLK 測試結果提交至 Windows 硬體開發人員中心儀表板入口網站

如需特定版本的詳細資料,請檢閱您想要鎖定之 Windows 版本的 WHCP (Windows 硬體相容性計畫) 原則

若要簽署適用于 Windows 7、Windows 8或Windows 8.1的驅動程式,請使用適當的 HCK (硬體認證套件) 。 如需詳細資訊,請參閱 Windows 硬體認證套件使用者指南

簽署舊版 Windows 的驅動程式

在Windows 10版本 1607 之前,下列驅動程式類型需要與 Microsoft 交叉簽署的跨憑證搭配使用的 Authenticode 憑證:

  • 核心模式設備磁碟機
  • 使用者模式設備磁碟機
  • 串流受保護內容的驅動程式。 這包括使用受保護使用者模式音訊 (PUMA) 和 PROTECTED Audio Path (PAP) 的音訊驅動程式,以及處理受保護視訊路徑輸出保護管理 (PVP-OPM) 命令的視訊設備磁碟機。 如需詳細資訊,請參閱 受保護媒體元件的程式碼簽署

依版本排序的簽署需求

下表顯示用戶端作業系統版本的簽署原則。

請注意,安全開機不適用於 Windows Vista 和 Windows 7。

適用於: Windows Vista、Windows 7;Windows 8+ 安全開機 Windows 8、Windows 8.1、Windows 10版本 1507、1511 及安全開機 Windows 10版本 1607、1703、1709,安全開機 Windows 10版本 1803+ 且具有安全開機
架構: 僅限 64 位,32 位不需要簽章 64 位、32 位 64 位、32 位 64 位、32 位
需要簽章: 內嵌或目錄檔案 內嵌或目錄檔案 內嵌或目錄檔案 內嵌或目錄檔案
簽章演算法: SHA2 SHA2 SHA2 SHA2
證書: 程式碼完整性信任的標準根目錄 程式碼完整性信任的標準根目錄 Microsoft Root Authority 2010、Microsoft 根憑證授權單位、Microsoft 根授權單位 Microsoft Root Authority 2010、Microsoft 根憑證授權單位、Microsoft 根授權單位

除了驅動程式程式碼簽署之外,您也需要符合安裝驅動程式的 PnP 裝置安裝簽署需求。 如需詳細資訊,請參閱隨插即用 (PnP) 裝置安裝簽署需求

如需簽署 ELAM 驅動程式的相關資訊,請參閱早期啟動反惡意程式碼。

另請參閱