Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Перед отправкой драйверов на панель мониторинга оборудования необходимо подписать сертификат. Ваша организация может связать любое количество сертификатов с учетной записью панели мониторинга, и каждая из ваших отправки должна быть подписана с любым из этих сертификатов. Нет ограничений на количество сертификатов, связанных с вашей организацией, как с расширенной проверкой (EV), так и стандартных.
В этой статье приведены общие сведения о типах подписывания кода, доступных для драйверов, и связанных с ними требований для этих драйверов.
Дополнительные сведения о требованиях к подписи драйверов см. на следующих страницах:
- Изменения в подписывании драйверов в Windows 10
- Изменения в подписывании драйверов в Windows 10, версия 1607
- Обновление требования к сертификату Sysdev EV
Где получить сертификаты подписывания кода EV
Сертификаты подписывания кода EV можно приобрести у одного из следующих центров сертификации:
- сертификат подписи кода Certum EV
- сертификат для подписания кода DigiCert EV
- сертификат для подписи кода EV от GlobalSign
- сертификат подписи кода IdenTrust EV
- Sectigo (ранее Comodo) СЕРТИФИКАТ подписывания кода EV
- SSL.com сертификат подписывания кода EV
Драйверы, подписанные сертификатом EV
Учетная запись панели мониторинга Центра разработки оборудования должна иметь по крайней мере один сертификат EV для отправки двоичных файлов для подписывания аттестации или отправки двоичных файлов для сертификации HLK.
Применяются следующие правила:
- Зарегистрированный сертификат EV должен быть действительным во время отправки.
- Хотя корпорация Майкрософт настоятельно рекомендует подписывать отдельные отправки с помощью сертификата EV, вы также можете подписывать отправки с помощью сертификата подписи Authenticode, который также зарегистрирован в учетной записи Центра партнеров.
- Все сертификаты должны быть SHA2 и подписаны с помощью переключателя командной
/fd sha256строки SignTool.
Если у вас уже есть утвержденный сертификат EV из центра сертификации, его можно использовать для установки учетной записи Центра партнеров. Если у вас нет сертификата EV, выберите один из центров сертификации и следуйте инструкциям по покупке.
После проверки контактных данных центра сертификации и утверждения покупки сертификата следуйте указаниям по получению сертификата.
Тестируемые и подписанные на панели мониторинга драйверы HLK
Подписанный на панели мониторинга драйвер, который прошел тесты HLK, работает в Windows Vista и более поздних версиях, включая выпуски Windows Server. Тестирование HLK — это рекомендуемый метод подписывания драйвера, так как он подписывает драйвер для всех версий ОС. Тестируемые драйверы HLK демонстрируют, что производитель тщательно тестирует оборудование для удовлетворения всех требований Майкрософт в отношении надежности, безопасности, эффективности питания, удобства обслуживания и производительности, чтобы обеспечить отличный интерфейс Windows. Тестирование включает соответствие отраслевым стандартам и требованиям к спецификациям Майкрософт для функций, относящихся к технологии, что помогает обеспечить правильную установку, развертывание, подключение и взаимодействие. Чтобы узнать, как создать тестируемый с помощью HLK драйвер для отправки на панель мониторинга, см. статью "Начало работы с Windows HLK".
Драйверы, подписанные аттестацией Windows 10 для сценариев тестирования
Установка устройств Windows использует цифровые подписи для проверки целостности пакетов драйверов и удостоверения издателя программного обеспечения, предоставляющего пакеты драйверов.
Только для тестирования можно отправлять драйверы для подписывания аттестации, для которых не требуется тестирование HLK.
Подписывание аттестации имеет следующие ограничения и требования:
Драйверы, подписанные аттестацией, не могут быть опубликованы в Центре обновления Windows для розничной аудитории. Чтобы опубликовать драйвер в Центре обновления Windows для розничной аудитории, необходимо отправить драйвер через программу совместимости оборудования Windows (WHCP). Публикация подписанных драйверов в Центр обновления Windows для тестирования поддерживается путем выбора параметров CoDev или Test Registry Key / Surface SSRK .
Подписывание аттестации работает только на настольной версии Windows 10 и более поздних версиях Windows.
Подписание аттестации поддерживает драйверы режима ядра и пользовательского режима для Windows 10 Desktop. Хотя драйверы пользовательского режима не должны быть подписаны Корпорацией Майкрософт для Windows 10, для драйверов режима пользователя и ядра можно использовать один и тот же процесс аттестации. Для драйверов, которые должны работать в предыдущих версиях Windows, необходимо отправить журналы тестов HLK/HCK для сертификации Windows.
Подписывание аттестации не возвращает правильный уровень PE для PE двоичных файлов ELAM или Windows Hello PE. Эти двоичные файлы должны быть проверены и отправлены в виде пакетов HLKX для получения дополнительных атрибутов подписи.
Для подписывания с помощью аттестационного сертификата требуется использование сертификата расширенной проверки (EV) для отправки драйвера в Центр партнеров (панель управления Центра разработки оборудования).
Подписывание аттестации требует, чтобы имена папок драйверов не содержали специальных символов, не были UNC-путями к общим папкам и были меньше 40 символов.
Когда драйвер получает аттестационную подпись, это не означает сертификацию в Windows. Подпись аттестации от Microsoft указывает, что драйвер доверяется Windows. Но поскольку драйвер не был протестирован в HLK Studio, нет гарантий, сделанных вокруг совместимости, функциональности и т. д. Драйвер, получающий подпись аттестации, не может быть опубликован в розничных аудиториях через Центр обновления Windows. Если вы хотите опубликовать драйвер в розничных аудиториях, необходимо отправить драйвер через программу совместимости оборудования Windows (WHCP).
DUA (допустимое обновление драйвера) не поддерживает драйверы, подписанные с помощью аттестации.
С помощью аттестации можно обрабатывать следующие уровни PE и двоичные файлы:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .xpi
- .xap
Дополнительные сведения о том, как создать подписанный драйвер аттестации для драйверов Windows 10+ см. в разделе " Аттестация" с знаком драйверов Windows 10+ и более поздних версий.
Драйверы с подписанными подписами Windows Server
- Windows Server 2016 и более поздних версий не принимает подтвержденные отправки подписей драйверов устройств и фильтров.
- Панель мониторинга сертифицирует только драйверы устройств и фильтров, которые успешно проходят тесты HLK.
- Windows Server 2016 и более поздние версии загружают только подписанные в панели инструментов драйверы, которые успешно проходят тесты HLK.
Управление приложениями в Защитнике Windows
Предприятия могут реализовать политику для изменения требований к подписи драйвера с помощью выпуска Windows 10 Enterprise. Управление приложениями в Защитнике Windows (WDAC) предоставляет политику целостности кода, определяемую предприятием, которая может быть настроена для требования по крайней мере драйвера, подписанного аттестацией. Дополнительные сведения о WDAC см. в статье «Планирование и начало работы с процессом развертывания Windows Defender Application Control».
Требования к подписи драйвера Windows
В следующей таблице приведены сведения о требованиях к подписи драйверов для Windows:
| Версия | Панель мониторинга аттестации с подписью | Панель управления прошедшего тест HLK подписана | Перекрестный подписывая с помощью сертификата SHA-1, выданного до 29 июля 2015 г. |
|---|---|---|---|
| Windows Vista | нет | Да | Да |
| Windows 7 | нет | Да | Да |
| Windows 8 / 8.1 | нет | Да | Да |
| Windows 10 | Да | Да | Нет (с Windows 10 1809) |
| Windows 10 — включена DG | *Зависит от конфигурации | *Зависит от конфигурации | *Зависит от конфигурации |
| Windows Server 2008 R2 | нет | Да | Да |
| Windows Server 2012 R2 | нет | Да | Да |
| Windows Server >= 2016 | нет | Да | Да |
| Windows Server >= 2016 — включенА DG | *Зависит от конфигурации | *Зависит от конфигурации | *Зависит от конфигурации |
| Windows IoT для бизнеса | Да | Да | Да |
| Windows IoT Enterprise— DG включено | *Зависит от конфигурации | *Зависит от конфигурации | *Зависит от конфигурации |
| Windows IoT Core(1) | Да (не требуется) | Да (не требуется) | Да (перекрестная подпись также будет работать для сертификатов, выданных после 29 июля 2015 г.) |
*В зависимости от конфигурации, с Windows 10 Корпоративная версия организации могут использовать Windows Defender Application Control (WDAC) для определения пользовательских требований к подписи. Дополнительные сведения о WDAC см. в статье «Планирование и начало работы с процессом развертывания Windows Defender Application Control».
(1) Подписывание драйвера требуется для производителей, создающих розничные продукты (т. е. для цели, не связанной с разработкой) на основе IoT Core. Список утвержденных центров сертификации (ЦС) см. в разделе "Кросс-сертификаты" для подписи кода в режиме ядра. Если включена безопасная загрузка UEFI, драйверы должны быть подписаны.