本帖最后由 wosign-support3 于 2017-12-19 10:16 编辑

关于 Windows 10 Version 1607 的内核态扩展代码(内核驱动)签名新策略 imbushuo1 年前
去年 Windows 10 发布时,驱动有一个 签名策略的变更 (真的有几个人注意到了吗),但是也正如官方所说的种种原因,没能如期实施。前两天 巨硬发了一个文章(如果不是朋友提醒我,我根本没注意到),关于新的驱动签名策略的。 简单地说,全新安装的,在 Secure Boot 打开的情况下,Windows 基本上只会接受由微软签名的驱动(其他驱动一概不认,不能安装不能启动),但是有一个例外是一些老驱动。如果你想知道你有没有受到影响,看下面: - 没有打开安全启动
- 打开了安全启动
- 升级到 1607: 没有影响,一切照旧
- 全新安装
- 驱动签署日期早于 2015/7/29: 没有问题,可以安装,可以使用
- 驱动签署日期晚于 2015/7/29
- 常规驱动将会被拒绝安装和使用
- 启动相关驱动不会被拒绝使用,但是会被程序兼容性助手删除
- 未来的 Windows 10 将彻底封死此类驱动的使用
能让微软签署你的驱动的条件是 - 从微软承认的五家 CA 里申请 EV 代码签名证书
- 这一般需要你拥有一家公司,或者你是某个公司的雇员,你们公司已经申请了
- 去 Windows Hardware Portal 注册账户,和 App 开发者账户类似,签署一个示例 exe 文件来证明你拥有 EV 代码签名证书
- 和微软签订书面保证协议
- 在本地运行 HLK/WHQL 测试,在提交驱动时提交 WHQL 测试结果
- 只有所有 WHQL 测试通过了才能签署
满足了以上情况,微软就会签署你的证书。 我装了一个全新安装的 Windows 10 Version 1607 来测试了一下在安全启动打开时的情况。
然后我知道 IDM(Internet Download Manager) 有内核驱动用于浏览器监视,签署于今年:
可以看到签署日期是今年五月十七日,由 Symantec 旗下的 VeriSign 签署。(不是微软)
尝试安装 inf 文件,出现了正常的复制文件窗口,然后……
标准结局。 (喂喂,快把这个人拖走)
回到正题,这件事情对各种人的影响如何呢…… - 一般终端用户:相对来说电脑变得安全一点了(话不能说绝),特别是喜欢下载些不明软件的
- 不要指望这个能干掉 360 什么的,你觉得这些公司弄个 EV 证书很难吗
- 高级用户/玩家:安装测试版驱动(特别是显卡,AMD 我在说你)变得稍微麻烦了一些,当然关闭安全启动也就可以了。这些用户一般知道他们自己在干什么
- 需要说明一点,现在有一些电脑是不提供关闭安全启动的选项的,或是提供 UEFI CSM 模式,但是纯 UEFI 下没有关闭安全启动的办法。
- 独立开发者:编写驱动并分发变得困难了一些,除非你拥有一家公司并通过 EV 认证,然后才可以让微软签署驱动
- 传统内核扩展开发者:在测试环境跑一遍 HLK(WHQL),像提交 App 一样把驱动和 WHQL 报告提交给微软来签署证书并分发,具体看这里
- Rootkit 制造者:我说不好,也许要思考别的 bypass 方案?
也不算是坏事吧,至少对于小白来说电脑安全了一些些,至于别的影响,we will see.
————转载 微软信仰中心
|
|
|
|
|
共 0 个关于关于 Windows 10 Version 1607 的内核态扩展代码(内核驱动)签名新策略的回复 最后回复于 2017-12-6 18:06