Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье рассматриваются различные предложения подписывания драйверов, доступные в Центре разработки оборудования. В статье также рекомендуются лучшие практики.
Hardware Lab Kit протестированные и подписанные на панели мониторинга драйверы
Драйвер, подписанный через панель управления Windows Hardware Dev Center и прошедший тестирование в Hardware Lab Kit (HLK), работает на Windows Vista и более поздних версиях, включая редакции Windows Server. Тестирование HLK — это рекомендуемый метод подписывания драйвера, так как он подписывает драйвер для всех версий ОС.
Тестируемые драйверы HLK демонстрируют, что производитель тщательно проверяет свое оборудование на соответствие всем требованиям Майкрософт относительно надежности, безопасности, эффективности питания, удобства обслуживания и производительности. Тестирование включает соответствие отраслевым стандартам и соблюдение спецификаций Майкрософт для функций, относящихся к технологии. Такое тестирование помогает обеспечить правильную установку, развертывание, подключение и взаимодействие.
Чтобы узнать, как создать драйвер, тестируемый с помощью HLK, для отправки на панель мониторинга, см. статью Windows HLK: начало работы.
Драйверы, подписанные аттестацией для сценариев тестирования
Windows установка устройства использует цифровые подписи для проверки целостности пакетов драйверов и удостоверения издателя программного обеспечения, предоставляющего пакеты драйверов.
Только в целях тестирования вы можете отправить ваши драйверы на подписание аттестации, для которых не требуется тестирование HLK.
Подписывание аттестации имеет следующие ограничения и требования:
Нельзя опубликовать драйверы, подписанные через аттестацию, в клиентский компонент Центра обновления Windows для потребителей. Чтобы опубликовать драйвер в клиентский компонент Центра обновления Windows для розничной аудитории, необходимо подать драйвер через Программу совместимости оборудования Windows. Публикация подписанных драйверов для клиентский компонент Центра обновления Windows для тестирования поддерживается путем выбора параметров CoDev или Test Registry Key /Surface SSRK.
Подписывание аттестации работает только на Windows 10 Desktop и более поздних версиях Windows.
Подписывание аттестации поддерживает драйверы Windows в режиме ядра и пользовательском режиме рабочего стола. Для драйверов, которые необходимо запускать на предыдущих версиях Windows, необходимо представить журналы тестов HLK/HCK для сертификации Windows.
Подписание аттестации не возвращает соответствующий уровень переносимого исполняемого файла (PE) для антивируса раннего запуска (ELAM) или двоичных файлов Windows Hello PE. Эти двоичные файлы должны быть проверены и отправлены в виде пакетов HLKX для получения дополнительных атрибутов подписи.
Для подписывания аттестации требуется использование расширенного сертификата проверки для отправки драйвера в Центр партнеров (панель мониторинга Центра разработки оборудования).
Подпись аттестации требует, чтобы имена папок драйвера не содержали специальных символов и не использовали UNC-пути к общим ресурсам. Имена папок драйвера должны быть меньше 40 символов.
Когда драйвер получает подпись аттестации, он не является сертифицированным Microsoft Windows. Подпись аттестации из Майкрософт указывает, что Windows доверяет драйверу. Но поскольку драйвер не протестирован в HLK Studio, нет гарантий совместимости или функциональности.
DUA (допустимое обновление драйверов) не поддерживает драйверы с аттестационной подписью.
С помощью аттестации можно обрабатывать следующие уровни PE и двоичные файлы:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .Xpi
- .xap
Дополнительные сведения см. в разделе Проверка подписи драйверов Windows.
Предварительно подписанные драйверы для предпродажного тестирования
Предварительная подпись доступна партнерам во время ранней разработки и проверки. Предварительно подписанные драйверы позволяют партнерам тестировать двоичные файлы драйверов в системах, где безопасная загрузка остается включенной.
По умолчанию эти драйверы не являются доверенными в розничных системах. Вместо этого они загружаются только на устройствах, которые явно подготовлены для доверия предварительной подписи. Эта спецификация обеспечивает более высокую степень достоверности тестирования, включая совместимость с Secure Boot, при этом гарантируя, что невозможно развернуть незавершенные или неподтвержденные драйверы.
Поддерживаемые сценарии
Вам может потребоваться использовать предварительное подписание, когда партнерам необходимо:
Проверьте ранние сборки драйверов, которые еще не готовы к отправке WHCP/HLK.
Выполните первоначальную настройку и тестирование в процессе совместной разработки с активированной безопасной загрузкой.
Тестирование взаимодействия функций безопасности ОС, таких как целостность кода на основе гипервизора (HVCI) и целостности кода в режиме ядра и пользовательского режима в управляемой среде.
Совместимость конфигурации ОС
При подготовке устройства с конфигурацией предварительной подписи:
Поддерживается установка и загрузка драйверов с включенной безопасной загрузкой.
HVCI, целостность кода в режиме ядра и целостность кода пользовательского режима остаются поддерживаемыми, как и доверенные конфигурации розничной торговли и аттестации.
Драйверы не загружаются в розничные системы, если эти системы четко настроены на доверие к предрелизной подписи.
Поддерживаемые атрибуты подписи драйвера
Следующие атрибуты подписи драйвера поддерживаются предварительной подписью: ELAM, HalExt, PETrust, DRM и Windows Hello.
Подготовка и отправка
Чтобы использовать предпродажную подпись, партнёры должны настроить свои тестовые устройства для доверия этой подписи. Подробные инструкции по подготовке, включая необходимые политики и средства безопасной загрузки, см. в статье "Тестирование драйверов предварительной загрузки с включенной безопасной загрузкой".
Партнеры могут создавать и управлять предварительными заявками с помощью API Центра разработки оборудования Майкрософт. Инструкции по отправке и сведения об управлении пакетами см. в разделе "Управление отправкой предварительной подписи".
Подписанные драйверы Windows Server
Ознакомьтесь со следующими ограничениями для Windows Server подписанных драйверов:
Windows Server 2016 и более поздние версии не принимают подтверждённые отправки для подписанных устройств и драйверов фильтров.
Панель управления подписывает только драйверы устройств и фильтров, которые успешно проходят тесты HLK.
Windows Server 2016 и более поздних версий загружает только драйверы, подписанные через Dashboard, которые успешно проходят тестирование HLK.
управление приложениями Windows Defender
Для редакции Windows 10 Enterprise предприятия могут реализовать политику для изменения требований к подписи драйверов. Управление приложениями Windows Defender (WDAC) предоставляет политику целостности кода, определяемую предприятием, которую можно настроить для требования как минимум аттестационного подписанного драйвера. Дополнительные сведения о WDAC см. в разделе "Развертывание управления приложениями для бизнеса".
требования к подписи драйвера Windows
В следующей таблице перечислены требования к подписи драйвера для Windows.
| Версия | Панель мониторинга аттестации с подписью | Тест HLK успешно прошел проверку на панели мониторинга. | Перекрестная подпись с использованием сертификата SHA-1, выданного до 29 июля 2015 г. |
|---|---|---|---|
| Windows Vista | Нет | Да | Да |
| Windows 7 | Нет | Да | Да |
| Windows 8 / 8.1 | Нет | Да | Да |
| Windows 10 | Да | Да | Нет (по состоянию на Windows 10 1809) |
| Windows 10 — Включено DG | *Зависит от конфигурации | *Зависит от конфигурации | *Зависит от конфигурации |
| Windows Server 2008 R2 | Нет | Да | Да |
| Windows Server 2012 R2 | Нет | Да | Да |
| Windows Server >= 2016 | Нет | Да | Да |
| Windows Server >= 2016 — Включено DG | *Зависит от конфигурации | *Зависит от конфигурации | *Зависит от конфигурации |
| Windows IoT Enterprise | Да | Да | Да |
| Windows IoT Enterprise - DG включен | *Зависит от конфигурации | *Зависит от конфигурации | *Зависит от конфигурации |
| Windows IoT Core(1) | Да (не обязательно) | Да (не обязательно) | Да (перекрестная подпись также работает для сертификатов, выданных после 29 июля 2015 г.) |
*Зависимость конфигурации— с выпуском Windows 10 Enterprise организации могут использовать WDAC для определения пользовательских требований к подписи.
Подписывание драйвера требуется для производителей, создающих розничные продукты (т. е. не для целей разработки) с использованием IoT Core. Список утвержденных центров сертификации см. в разделе "Кросс-сертификаты" для подписи кода в режиме ядра. Если включена безопасная загрузка UEFI, необходимо использовать подписанные драйверы.