Re: Новое в подписи драйверов на Windows 10
От: pilon  
Дата: 10.08.16 15:50
Оценка: 12 (2)
MS наконец обновила страницу с Driver Signing Policy.

Расписано, когда требуется драйвер, пропущенный через MS Dev Portal.
На С НУЛЯ установленных Windows version 1607 (это anniversary update) со включённым Secure Boot будут требовать драйвера с WHQL signature.

Если выполняется ЛЮБОЕ из условий:
— Windows была обновлена до Windows 10, version 1607 с более старой сборки
— Secure Boot отключен
— Driver подписан старым сертификатом, выпущенным до July 29th 2015.
То драйвер загрузится и без этого.

https://msdn.microsoft.com/windows/hardware/drivers/install/kernel-mode-code-signing-policy--windows-vista-and-later-

Starting with new installations of Windows 10, version 1607, Windows will not load any new kernel mode drivers which are not signed by the Dev Portal
...
Cross-signed drivers are still permitted if any of the following are true:

The PC was upgraded from an earlier release of Windows to Windows 10, version 1607.
Secure Boot is off.
Driver was signed with cross-signing certificate issued prior to July 29th 2015.


Т.е. они признали, что до этого только пугали, а теперь реально начинают отключать:
https://blogs.msdn.microsoft.com/windows_hardware_certification/2016/07/26/driver-signing-changes-in-windows-10-version-1607/

Last year, we announced that beginning with the release of Windows 10, all new Windows 10 kernel mode drivers must be submitted to the Windows Hardware Developer Center Dashboard portal (Dev Portal) to be digitally signed by Microsoft. However, due to technical and ecosystem readiness issues, this was not enforced by Windows Code Integrity and remained only a policy statement.


Я пробовал Windows 10 64 с установленным anniversary update с UEFI Secure Boot — драйвера пока грузятся.
Но здесь винда обновлена с более старой сборки.
У меня нет iso с Windows 10, version 1607 что бы попробовать поставить её с нуля.

Зато я попробовал поставить Windows Server 2016 Technical Preview 5 со всеми апдейтами.
Если включить UEFI Secure Boot, драйвера не загружаются.
При попытке загрузить драйвер в журнале появляются сообщения вида:
"Сбой при запуске службы XXX из-за ошибки
Системе Windows не удается проверить цифровую подпись этого файла. При последнем изменении оборудования или программного обеспечения могла быть произведена установка неправильно подписанного или поврежденного файла либо вредоносной программы неизвестного происхождения."

При отключении UEFI Secure Boot тот же драйвер прекрасно загружается и работает.

При этом boot-драйвер загружается и с UEFI Secure Boot и без него.
Но это тоже одно из исключений, boot-драйвера без WHQL signature они запретят позже:

To prevent systems from failing to boot properly, boot drivers will not be blocked, but they will be removed by the Program Compatibility Assistant. Future versions of Windows will block boot drivers.

 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.