Драйвера, подписанные Microsoft, можно устанавливать и без разрешения владельца ноутбука, достаточно сертификата Microsoft (Источник: xkcd.com)
В прошлом году корпорация Microsoft
объявила о том, что с выходом Windows 10 все новые драйвера режима ядра будет необходимо подтверждать в
Windows Hardware Developer Center, для получения цифровой подписи Microsoft. Из-за ряда проблем это нововведение не вступило в силу, оставшись лишь уведомлением.
Теперь компания
решила реализовать это изменение. Начиная с версии 1607 операционной системы Windows 10, ОС не будет загружать новые драйверы режима ядра, не подписанные в Windows Hardware Developer Center. Речь идет только о чистых установках операционной системы, а не об апгрейдах прежних версий Windows OS на Windows 10. В этом случае версию 1607 не затрагивают изменения в политиках.
Корпорация утверждает, что изменения требуются для того, чтобы сделать Windows более безопасной операционной системой. По мнению Microsoft, при введении режима загрузки только подписанных драйверов ядра риск компометации системы зловредным ПО значительно снижается.
Если вы разработчик драйверов, то для подписания своего драйвера необходимо выполнить следующие действия:
1. Убедиться в том, что вы отправили драйвер Microsoft через
Windows Hardware Developer Center.
2. Начать процесс сертификации драйвера по процедуре
Extended Validation (EV) Code Signing Certificate. Все драйверы, которые планируется загрузить для проверки, должны быть подписаны сертификатом EV.
Microsoft опубликовала и ряд ответов на дополнительные вопросы, которые могут возникнуть у разработчика или пользователя.
Один из вопросов касается исключений и драйверов с кросс-сертификатами:
- Как и говорилось выше, изменения в политике подписания драйверов касаются только чистых установок Windows 10, а не обновлений с предыдущих версий ОС. В последнем случае валидны и кросс-сертификаты драйверов;
- ПК с отключенным режимом Secure Boot также будут пропускать установку таких драйверов;
- Драйвера, получившие кросс-сертификат до 29 июля 2015 года, остаются валдиными.
Что касается иных версий Windows, то изменения актуальны только для Windows 10 версии 1607. При этом загрузить драйвер на
Windows Hardware Developer Center можно будет только при наличии EV сертификата.
В любом случае, теперь, если разработчик решил проверить работу драйвера на тестовой машине, ему придется выключать режим Secure Boot и подписывать сертификат самостоятельно, устанавливая драйвер при помощи соответствующего инструмента.
