Всі драйверів режиму ядра Windows 10 (1607) тепер повинні бути підписані Microsoft


Драйвера, підписані Microsoft, можна встановлювати і без дозволу власника ноутбука, досить сертифіката Microsoft (Джерело: xkcd.com)

У минулому році корпорація Microsoft объявила про те, що з виходом Windows 10 все нові драйвера режиму ядра буде необхідно підтверджувати <a href=«sysdev.microsoft.com/hardware>Windows Hardware Developer Center, для отримання цифрового підпису Microsoft. З-за ряду проблем це нововведення не набуло чинності, залишившись лише повідомленням.

Тепер компанія вирішила реалізувати це зміна. Починаючи з версії 1607 операційної системи Windows 10, ОС не буде завантажувати нові драйверів режиму ядра, не підписані Windows Hardware Developer Center. Мова йде тільки про чисті установках операційної системи, а не про апгрейдах колишніх версій Windows OS Windows 10. У цьому випадку версію 1607 не торкаються зміни в політиках.

Корпорація стверджує, що зміни потрібні для того, щоб зробити Windows більш безпечною операційною системою. На думку Microsoft, при введенні режиму завантаження тільки підписаних драйверів ядра ризик компометации системи шкідливим ЗА значно знижується.

Якщо ви розробник драйверів, то для підписання свого драйвера необхідно виконати наступні дії:
1. Переконатися в тому, що ви відправили драйвер Microsoft через <a href=»sysdev.microsoft.com/hardware>Windows Hardware Developer Center.
2. Почати процес сертифікації драйвера за процедурою Extended Validation (EV) Code Signing Certificate. Всі драйвери, які планується завантажити для перевірки, повинні бути підписані сертифікатом EV.

Microsoft опублікувала і ряд відповідей на додаткові запитання, які можуть виникнути у розробника або користувача.

Одне з питань стосується винятків і драйверів з крос-сертифікатами:
  • Як і говорилося вище, зміни в політиці підписання драйверів стосуються тільки чистих установок Windows 10, а не оновлення з попередніх версій ОС. В останньому випадку валідні і крос-сертифікати драйверів;
  • ПК з відключеним режимом Secure Boot також будуть пропускати встановлення таких драйверів;
  • Драйвера, які отримали крос-сертифікат до 29 липня 2015 року, залишаються валдиными.
Що стосується інших версій Windows, то зміни є актуальними лише для Windows 10 версії 1607. При цьому завантажити драйвер на <a href=«sysdev.microsoft.com/hardware>Windows Hardware Developer Center можна буде тільки при наявності EV сертифіката.

У будь-якому випадку, тепер, якщо розробник вирішив перевірити роботу драйвера на тестовій машині, йому доведеться вимикати режим Secure Boot і підписувати сертифікат самостійно, встановлюючи драйвер за допомогою відповідного інструменту.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.